【DPI】ネット検閲、ブロッキング問題 3【IPv6】

>>706
そう言えばDNSサーバーにおいて
DNSサーバー・ポイズニング方式のブロッキングにすると、
信頼できるサーバー間での通信に暗号化通信を行うことによって
DNSサーバーの持つDNSデータの情報を正しく保つ
DNSSECDNSSEC（DNS Security Extensions）技術が上手く使えなくなるとか言ってたなあ。
とか思って調べてみた。

まあ要するに
プロバイダーとかの運用する「キャッシュDNSサーバー」（当然DNSSECの暗号通信に対応している場合）と
「権威DNSサーバー」群との間でやり取りしながら「再帰検索」している時の通信ではDNSSEC通信が可能だけど。
（要するに「フルサービスリゾルバー」が宛先のIPアドレスを知っている所まで反復検索しながらあちこち盥回しにされる
　ルートサーバー→JPドメイン等のDNSサーバー→レンタル等のホスティングサーバ、自宅サーバーなど？）

仮にあるドメイン名がブロッキング（DNSサーバー・ポイズニング方式だとDNSのリストを改竄することでブロッキングする）されてたら
そのドメイン名に関しては
DNSサーバーからの情報が、本当に権威DNSサーバー群の情報と一致する正しい情報かどうかは
ユーザーはそのキャッシュDNSサーバーを使っている限り、技術的に調べることが出来ないと言うことか？
（キャッシュDNSサーバーより向こう側は通信がブロッキングされるので
　情報の出元を確認するために暗号化したDNSSEC通信で問い合わせてもキャッシュDNSサーバーかそれ以前で問い合わせの通信が弾かれる）

因みに、DNSで名前解決を行なう際、それを実行するためのクライアントプログラムが。
アプリケーション側のDNSクライアント
（クライアント、Client＝サーバーからサービスを受ける側、処理を依頼する側、依頼人・顧客の意）
が「リゾルバー」とか「スタブリゾルバー」（Stub Resolver）だとか
DNSサーバー側のサーバープログラムが（サーバー、Server＝サービスを提供する側、配膳する側）
「フルサービスリゾルバー」（Full-Service Resolver）（例の盥回しにされるやつ）とかなんとか。
コンテンツサーバ（Contents Server）→自らが管理しているデータベースに該当する情報がなければ「情報はない」と答えつつ盥回しにする。


DNSブロッキングとDNSSECを共存させるための手法について
http://jprs.jp/tech/notice/2010-07-28-dns-blocking-dnssec.html
＠IT：DNS Tips：ネームサーバの3つの働きとは
http://www.atmarkit.co.jp/fnetwork/dnstips/005.html