DNSSEC運用の予習をする

もうすぐ独自ドメインを取得して60日になるので、レジストラ移管ができるようになります。

レジストラ移管をしたらDNSSECを有効化しようと思っているので、実際にどんな運用になるのかを予習していました。

大変そうなDNSSEC運用

DNSSECを導入する場合、一般的には

  • 親ゾーン(レジストラ)にDSレコードを追加
  • 子ゾーン(権威DNS)にいろいろレコードを追加

ということをやります。

今のレジストラ(シンドメイン)はDSレコードが追加できない仕様になっているので、DNSSEC対応ができないけれど、DNSSEC対応のPorkbunにレジストラ移管をするとできるようになるというわけです。

で、ややこしいのが定期的に鍵の更新があること。

鍵が更新されると各レコードの署名がやり直しになるし、さらに親ゾーンでは子ゾーンの鍵の情報を持っているので、子ゾーン側で鍵が新しくなったら親ゾーン側のレコードに影響します。

このあたりは、一般的には、手作業で書き換えていくことになるようです。

え、それめっちゃめんどいやん!しかもやり忘れたりミスったりしたら、DNSが機能しなくなるので、ウェブもメールも止まってしまいます。

DNSSECがなかなか広まらない理由のひとつはこれなんやろなあ・・・セキュリティが強化される代わりに、正しいユーザーを締め出してしまう危険性があるという。

全自動運用?

子ゾーンを管理しているCloudflareでは、DNSSECを設定で有効化するだけで、子ゾーン側の鍵更新や再署名は全部やってくれるようです。なので、Cloudflareを使っている限りは子ゾーン側は放置で大丈夫なのかも?

で、今度親ゾーン管理をすることになるPorkbunはどうかというと・・・

Cloudflare DNSSECという設定があるので、子ゾーンをCloudflareで管理している場合は、自動で子ゾーン側の鍵情報を吸い上げて反映させてくれるのかも?NSレコードさえ書いておけば。

ということは、親ゾーン・子ゾーンとも放置運用が成り立つってことなんかな・・・?

子ゾーンの鍵が変わったことをリアルタイムで親ゾーンに反映しないと、情報がずれてる期間DNS機能が死んでしまうので、そのあたりもちゃんとやってくれるんやろか・・・?

ちなみにレジストラがお名前.comとかだと、DNSSECに対応しているものの、DSレコードは手入力みたいなので、運用大変そうです。

追記 2024-11-16

PorkbunのCloudflare DNSSEC設定は、PorkbunのDNSを利用する場合の設定項目だそうなので、「子ゾーンをCloudflareで管理している場合に自動で子ゾーン側の鍵情報を吸い上げてくれる機能」ではありませんでした。

その他、実際にPorkbunの環境をさわってみて鍵更新運用はどうなるのかという話についても書いています。

MG TRAILのボトルホルダーとそのそっくりさん

MG TRAILのボトルホルダーをインラインスケート用ザックで1年以上使っているんですが、これやっぱりいいです。出し入れしやすいのに、かがんでもボトルが落ちない。

実は昨日小仏バス停で、このMG TRAILのボトルホルダーを使っている方を見かけました。

インラインスケート用以外のザックはマムートのボトルホルダーのままなので、ほかのもMG TRAILのに替えたいなあと思っていたんですが、

本家の5分の1ぐらいの値段のジェネリック品(?)をAmazonで見つけました。FLY LEAF。どんなんかな?

IMG20241101092210

左が本家で、右がジェネリック品。「たまたま似た」とは言い訳ができないぐらい似てます。ゴムとかの質感もほぼいっしょ。

IMG20241101092327

裏。本家はベルト2本で固定するようになっているけれど、ジェネリック品は1本。あと、ファスナーの引手も、本家はどちらからでも開け閉めできるように2つついてるけど、ジェネリック品の方は1つだけです。

ボトルホルダー自体をずり落ちないようにする役割は表側上部のループでやっていて、ベルトは横ゆれを防ぐためのものなので、1本でも特にこまらないです。あと、自分はボトルホルダーをたたまないので、ファスナーを使いません。

それでこのジェネリック品を軽く使ってみたんですが、ボトルの出し入れもしやすいし、かがんでも落ちないし、今のところ本家とのちがいがわからないです。

中国からの発送になるので、注文から到着まで少々時間がかかるのがネックかな。
(10/8注文で到着が10/31。10/21から成田で留め置かれていたので、税関でも時間がかかってたっぽいです。)

陣馬山・景信山縦走

山行きたい山行きたいとつねづね言っていたんですが、今シーズン初めて行ってきました。

ひさびさでめっちゃ体力が落ちてたりしたらこわいので、何度か行ってて勝手のわかっている奥高尾縦走路へ。

電車の中で、遭難本の新刊を読みつつ。

IMG20241031082510

高尾駅北口からバスに乗ります。前来たときはこの4倍ぐらい並んでた気がするけど、今日は平日だからかおとなしめです。

IMG20241031091804

陣馬高原下からスタートします。

IMG20241031102842

まずは陣馬山!

IMG20241031103059

信玄茶屋閉まってます。平日だから?

IMG20241031104756

清水茶屋は開いていて、おでんとかうどんとかがありました。

IMG20241031111136

見晴らしはよくないけど、よく整備された木立の尾根道を歩きます。

IMG20241031123030

景信(かげのぶ)山!

IMG20241031123139

ここの茶屋(かげ信小屋)も閉まってるなあ。

IMG20241031131849

高尾山の方には向かわず、小仏バス停に下りてゴール!

いつも山では、休憩込みで、休憩なしコースタイムの0.7倍を目安にしてたけど、今回もほぼそのぐらいのタイムで歩けました。

今回マグネットリリーサーの実戦初投入でしたが、ちゃんと使い物になりました。

でもコンパスを吊るリールにはやっぱり改善の余地あり。引っぱって伸ばすと必ず戻る力がかかってしまうけど、これがうっとうしいです。

リール式のUSBケーブルみたいに、伸びた状態でいったん固定されるタイプのリールないかな?いや、最終形はリールじゃない気もするなあ。

危なさに対するアクション

8月に熊本でお会いした方が今中南米を旅行中です。

自分は去年危なくて入国を断念したブラジルにも行かれているようです。いいなあ。

危なさの見積もり

1000人通ると、そのうち200人が死んでしまう道があるとします。

それってもう通行止めレベルの道なわけです。

でも一般的に「あのあたりは危険」と言われる場所って、1000人のうち200人も死ぬようなところではないわけで、仮にそのぐらいのところだったとしても8割は生き残れるわけです。

なので、たとえばブエノスアイレスの危険エリアのレティーロを通るとき、この理屈で「何も問題が起こらない率は80%以上」と自分に言い聞かせていました。

それならブラジルにも行けたのでは?

・・・というと、これはシートベルトなしで車に乗るような感じかな。

最近気になっている場所

この土日は、泊まりがけで夏のワークキャンプの総括研修に行っていました。

アイスランドに行かれていた方の話も聞いたんですが、食費・滞在費が2週間400ユーロぽっきりで済んだそうで、北欧とかスイスとかの物価の高い国はワークキャンプで行くのめっちゃありやなあ。

そんなあれこれありつつ、最近ちょっと気になってきている場所についてメモ。

サンマリノ

ヨーロッパって、歴史上いろんな帝国が栄枯盛衰したりして、なにかと不安定なエリアやけれど、もし自分がどこかの王様をやるんだったらがっちりガードを固めたコンパクトな国にするかなあ・・・

と思っていたら、まさにそんな感じで長年やってきていたのがサンマリノ。

イタリアの中にあるミニ国家です。

独立 301年9月3日

日本の古墳時代ぐらいからずっと続いてるってすごいなあ・・・どんな立地ならそんなことができるのかとか、めっちゃ気になっています。「魅力的すぎない」とかそういうのもあるんかなあ。

インドの東のはみ出し部分

インドに行ったことのある人にはちらほら会ったことがあるけれど、

このあたりのはみ出し部分に行った話って聞いたことがないです。シッキムとかアッサム地方とか。

標高の高いダージリンとか、常秋エリアだったりするんじゃない?とかそういう興味も。

インドは、コロナ時代のおためし旅行のときにだめもとで取れた5年マルチプルのeビザが残っているので、行きやすかったりするし。