すべてのプロダクト
Search
ドキュメントセンター

Domain Names:DNSSEC の設定

最終更新日:Jun 04, 2026

DNSSEC (Domain Name System Security Extensions) は、ご利用のドメインの DNS レコードにデジタル署名を追加し、再帰的リゾルバーが偽造された応答を検出して拒否できるようにすることで、ユーザーが常に正規のサービスにアクセスできるようにします。

仕組み

DNSSEC は DNS クエリのプロセスを変更しません。代わりに、デジタル署名と信頼の連鎖(チェーン・オブ・トラスト)を使用して、名前解決の結果が真正であることを検証します。

このプロセスは以下の 2 つのフェーズで構成されます。

構成フェーズ(管理者による操作)

  1. Alibaba Cloud DNS などの権威 DNS プロバイダーで DNSSEC を有効にします。システムが鍵を生成し、すべてのレコードに署名したうえで、公開鍵の暗号的指紋である DS レコードを出力します。

  2. DS レコードをドメインのレジストラーに提出します。レジストラーはこれをトップレベルドメイン(TLD)の公式レジストリ(例:.com)と同期します。

これは、公開鍵を上位の認証機関に登録することに相当します。

検証フェーズ(自動)

ユーザーがドメインにアクセスすると、DNSSEC 対応のリゾルバーは以下の処理を実行します。

  1. .com TLD から登録済みの DS レコード(公式の指紋)を取得します。

  2. ドメインの DNS プロバイダーから現在の公開鍵(DNSKEY)を取得します。

  3. 公開鍵から指紋を計算し、DS レコードと照合します。一致する場合、リゾルバーはその応答を信頼します。一致しない場合は、応答を拒否します。

リゾルバーは検証済みの DNS データのみを返すため、DNS キャッシュポイズニングや中間者攻撃を防止できます。

操作手順

ステップ 1:DS レコードの取得

  • DNS サービスが Alibaba Cloud の場合パブリックゾーンページで対象ドメインを見つけ、右側の DNSSEC の設定 をクリックします。DNSSEC を有効化した後、構成ページから DS レコードを取得してください。

    DNSSEC 設定項目 は、[操作] 列の ([詳細])メニュー内にあります。

    構成ページには、キー タグアルゴリズムダイジェスト タイプダイジェスト の 4 つの DS レコードフィールドが表示されます。これらをドメインのレジストラーに提出することで、DNSSEC が有効になります。DS レコードの詳細情報 を展開すると、公開鍵 および フラグ を確認できます。

  • DNS サービスが Alibaba Cloud 以外の場合:DS レコードをご利用の DNS プロバイダーから取得してください。

ステップ 2:DS レコードの追加

  1. [ドメインリスト] ページに移動し、対象のドメインを見つけて、[操作] を [管理] 列でクリックします。[DNSSEC の設定] ページで、[DS レコードの追加] をクリックします。

  2. DNS プロバイダーから取得した DS データを入力し、[送信] をクリックします。

説明

各ドメインでは、最大 8 件の DS レコードをサポートしています。

ステップ 3:構成の検証

  • 推奨される検証ツール:DNSViz

  • ご利用のドメインを入力して分析を実行します。すべての階層で DS レコードが表示され、赤色のエラーボックスがなければ、DNSSEC は正常に動作しています。

DNSSEC レコードの管理

DS レコードの同期

ドメインを Alibaba Cloud に移管し、元のレジストラーで既に DNSSEC を構成済みの場合は、DNSSEC の設定ページで DS レコードの同期 をクリックしてください。これにより、既存の DNSSEC レコードが手動入力なしで Alibaba Cloud に同期されます。

DNSSEC の無効化

  1. ドメインの DNSSEC の設定 ページで、DS レコードを削除します。

  2. DNS プロバイダーのコンソールで、DNSSEC を無効にしてください。

本番運用時の注意点

  • 有料 DNS プランの有効期限が切れ、更新しない場合は、まずドメインのレジストラーで DS レコードを削除し、Alibaba Cloud DNS コンソールで DNSSEC を無効にしてください。そうしないと、ドメインの名前解決が失敗します。

  • Alibaba Cloud アカウント間で「アカウント間ドメイン移管」機能を使用してドメインを移動する前に、ドメインのレジストラーで DS レコードを削除し、Alibaba Cloud DNS コンソールで DNSSEC を無効にしてください。そうしないと、ドメインの名前解決が失敗します。

  • Alibaba Cloud アカウント間で「クロスアカウント DNS 解決転送」機能を使用して DNS ホスティングを移動する前に、ドメインのレジストラーで DS レコードを削除し、Alibaba Cloud DNS コンソールで DNSSEC を無効にしてください。そうしないと、ドメインの名前解決が失敗します。

よくある質問

ドメイン移管時に DNSSEC を無効にする必要があるのはなぜですか?

ドメインを移管する前に DNSSEC を無効にしてください。DNSSEC は、ドメインのレジストラーに登録された DS レコードを利用して DNS 応答を検証します。DS レコードを削除せずに移管を行うと、信頼の連鎖が中断され、再帰的リゾルバーが応答を拒否するため、サービスが一部停止します。移管完了後に DNSSEC を再度有効にしてください。

コンソールでドメインの DNSSEC 設定項目が表示されないのはなぜですか?

ご利用のドメインの TLD が DNSSEC をサポートしていません。サポートされている TLD:.com.net.cc.tv.name.biz.club.cn、および .top。ドメイン名コンソールに DNSSEC 設定項目が表示されない場合、ご利用の TLD は現時点でサポートされていません。