すべてのプロダクト
Search
ドキュメントセンター

Alibaba Cloud DNS:DNSSEC

最終更新日:Apr 25, 2026

DNSSEC とは

Domain Name System Security Extensions (DNSSEC) は、DNS 偽装やキャッシュ汚染などの攻撃からドメインを保護する仕組みです。DNS 応答の真正性と整合性をデジタル署名によって検証することで、ユーザーが意図しないアドレスに誘導されるのを防ぎ、ビジネスのコアを守り、インターネットへの信頼を高めます。

注意事項

  1. DNSSEC は、すべての有料 Alibaba Cloud DNS エディションをご利用中のユーザーが利用できます。

  2. サブドメインで独立した DNS ホスティングを使用している場合、DNSSEC を有効化できません。

  3. セカンダリ DNS 機能が有効になっている場合、DNSSEC を有効化できません。

  4. ALIAS レコード を持つドメインでは、DNSSEC を有効化できません。

  5. 有料 Alibaba Cloud DNS サブスクリプションの有効期限が切れ、更新しない場合は、まずドメイン指定業者で DS レコードを削除し、その後 Alibaba Cloud DNS コンソールで DNSSEC を無効化してください。これにより、名前解決の失敗を防げます。

  6. DNSSEC が有効な状態で「アカウント間ドメイン移管」機能を使用してドメインをアカウント A からアカウント B へ移動する必要がある場合は、まずドメイン指定業者で DS レコードを削除し、その後 Alibaba Cloud DNS コンソールで DNSSEC を無効化してください。これにより、名前解決の失敗を防げます。

  7. DNSSEC が有効な状態で「アカウント間 DNS 解決移行」機能を使用してドメインの DNS 解決をアカウント A からアカウント B へ移動する必要がある場合は、まずドメイン指定業者で DS レコードを削除し、その後 Alibaba Cloud DNS コンソールで DNSSEC を無効化してください。これにより、名前解決の失敗を防げます。

  8. DNSSEC が有効な状態で「ドメイン名の分離」機能を使用する必要がある場合は、まずドメイン指定業者で DS レコードを削除し、その後 Alibaba Cloud DNS コンソールで DNSSEC を無効化してください。これにより、名前解決の失敗を防げます。

  9. DNSSEC を有効にするには、DNS サービスプロバイダーとドメイン指定業者の両方が対応している必要があります。Alibaba Cloud は、DNS サービスおよびドメイン登録サービスの両方で DNSSEC をサポートしています。

DNSSEC の有効化

  1. Alibaba Cloud DNS - Public Authoritative DNS ページにログインします。該当するドメインを見つけ、DNSSEC の設定 > DNSSEC 設定項目 をクリックします。

  2. DNSSEC 設定項目ページで、DNSSEC スイッチをオンにします。

  3. Key TagAlgorithmDigest TypeDigest を含む DS レコード情報をコピーし、ドメイン指定業者で DS レコードを追加します。

  4. ドメインが Alibaba Cloud で登録されている場合は、「DNSSEC の設定」ドキュメントをご参照ください。

DNSSEC の検証

テストツール を使用して構成を検証します。

DNSSEC が有効かどうかの確認

たとえば、dns-example.com のレポートでハイライトされたエリアに DS レコードが表示されていない場合、DNSSEC が有効になっていないことを意味します。

未开启DNSSEC

DNSSEC がアクティブな状態

レポートに信頼チェーンの各レベルごとに DS レコードが表示され、赤いエラーボックスが表示されていない場合、DNSSEC は正しく動作しています。

DNSSEC已生效

検証失敗

レポートに赤いエラーボックスが表示されている場合、DNSSEC 検証が失敗しています。問題をトラブルシューティングするためにチケットを送信できます。

未生效报错

DNSSEC の無効化

ステップ 1:DS レコードの削除

Alibaba Cloud で登録されたドメインの場合:

  1. Domain Names コンソール にログインします。

  2. ドメイン ページで該当するドメインを見つけ、操作列の 管理 をクリックします。

  3. 左側のナビゲーションウィンドウで、DNS 管理 の下にある DNSSEC 設定項目 をクリックします。次に、DS レコードを見つけ、削除 をクリックします。

ステップ 2:DNSSEC の無効化

  1. Alibaba Cloud DNS - Public Authoritative DNS ページで該当するドメインを見つけ、DNSSEC の設定 > DNSSEC 設定項目 をクリックします。

  2. DNSSEC 設定項目ページで、DNSSEC スイッチをオフにします。

    警告

    名前解決の失敗を防ぐため、これらの手順を指定された順序で実行する必要があります。

よくある質問

DNSSEC レポートの黄色い警告は問題ですか?

image

いいえ。黄色い警告は、ご利用のドメインにおける DNSSEC の機能に影響しません。Alibaba Cloud の権威 DNS はスマート DNS 解決を使用しているため、権威 DNS が返す IP アドレスが認証済みのグルーアドレスレコードと異なるのは正常です。

CNAME レコードで DNSSEC が失敗するのはなぜですか?

DNSSEC は検証のために信頼チェーンに依存します。CNAME レコードの場合、このチェーンはターゲットドメインまで拡張されるため、ターゲットドメインも DNSSEC が有効になっている必要があります。初期ドメインで DNSSEC が有効でも、CNAME レコードのターゲットドメインで DNSSEC が有効になっていない場合、検証は失敗します。