DNSSECの「RRSIG署名」について、このように(
https://mesh2.net/channel/webmaster?mid=https://mesh2.net/item/58af37da-e2c7-42e9-82a1-5d7d7e16d218)書いたところ、「なぜ自動更新しないのか」というご質問をいただきました。
はい、当社はDNSSECの「RRSIG署名」を自動更新はしておりません。当社は、手動で、DNSSECの「RRSIG署名」を更新しています。
当社が「手動で」更新する理由は、
既存の「自動更新の方法」が、どれも、当社のサーバーセキュリティ理念に反するからです。
と、これだけお答えして終わりにしてしまってはなんだかそっけないので、当社の『DNSSECの「RRSIG署名の有効期限」アラート』の作り方を簡単にお教えいたします。
STEP1:GitHubから、Mr.Mario Rimannの『check_dnssec_expiry』をダウンロードします。
https://github.com/mrimann/check_dnssec_expirySTEP2:shellで「check_dnssec_expiry.sh」が自分のドメインを確認するようにします。
STEP3:PHP(もちろんPythonでも何でもOK)、STEP2の内容をダウンロードして、「WARNING」という文字列を拾い、存在した場合は、自分のメールアドレスにアラートを飛ばします。当社は、メール送信部分は再びshellに渡して実行しています。
なお、「RRSIG署名の有効期限」は、digコマンドで確認できます。当社は、nslookupもhostも使いますが、DNS関連はdigでチェックすることが多いです。
;