9.5. インフラストラクチャーサービス
bind
および unbound
の両方が SHA-1- ベースの署名の検証を無効化する
bind
および unbound
コンポーネントは、すべての RSA/SHA1 (アルゴリズム番号 5) および RSASHA1-NSEC3-SHA1 (アルゴリズム番号 7) 署名の検証サポートを無効にし、署名の SHA-1 使用は DEFAULT システム全体の暗号化ポリシーで制限されます。
その結果、SHA-1、RSA/SHA1、および RSASHA1-NSEC3-SHA1 ダイジェストアルゴリズムで署名された特定の DNSSEC レコードは、Red Hat Enterprise Linux 9 で検証できず、影響を受けるドメイン名が脆弱になります。
この問題を回避するには、RSA/SHA-256 や Elliptic Curve キーなどの別の署名アルゴリズムにアップグレードします。
影響を受け脆弱なトップレベルドメインの詳細とリストは、RSASHA1 で署名された DNSSEC レコードがソリューションを検証できない を参照してください。
同じ書き込み可能ゾーンファイルが複数のゾーンで使用されていると、named
が起動しない
BIND では、複数のゾーンに同じ書き込み可能ゾーンファイルを使用することができません。そのため、named
で変更可能なファイルへのパスを共有するゾーンが複数存在すると、named
が起動できなくなります。この問題を回避するには、in-view
節を使用して、複数のビュー間で 1 つのゾーンを共有し、異なるゾーンに異なるパスを使用するようにします。たとえば、パスにビュー名を含めます。
書き込み可能なゾーンファイルは通常、動的更新が許可されたゾーン、セカンダリーゾーン、または DNSSEC が管理するゾーンで使用されることに注意してください。
libotr
は FIPS に準拠していない
libotr
ライブラリーとオフザレコード (OTR) メッセージング用のツールキットは、インスタントメッセージングの会話にエンドツーエンドの暗号化を提供します。ただし、libotr
ライブラリーは gcry_pk_sign()
および gcry_pk_verify()
関数を使用しているため、連邦情報処理標準 (FIPS) に準拠していません。その結果、FIPS モードでは libotr
ライブラリーを使用できません。