すべてのプロダクト
Search

このプロダクト

    Domain Names:DNSSEC の構成

    ドキュメントセンター

    Domain Names:DNSSEC の構成

    最終更新日:Nov 09, 2025

    ドメイン名の DNS 解決がハイジャックされると、ユーザーは悪意のあるアドレスやフィッシング Web サイトにリダイレクトされる可能性があります。
    これにより、詐欺ページでアカウントの認証情報や注文詳細などの機密情報が漏洩する可能性があります。 Alibaba Cloud は、ドメイン名にデジタル署名を追加するための Domain Name System Security Extensions (DNSSEC) を提供しています。リゾルバーが偽造された応答を検出すると、その応答を拒否します。これにより、ユーザーは常に本物のサービスにアクセスできるようになります。

    仕組み

    DNSSEC は DNS クエリプロセスを変更しません。代わりに、デジタル署名と階層的な検証を使用して、ユーザーが受け取る解決結果が偽造または改ざんされていないことを保証します。

    このプロセスには 2 つのフェーズがあります:

    構成フェーズ (管理者操作)

    1. Alibaba Cloud DNS などの権威 DNS プロバイダーで DNSSEC を有効にします。システムはキーを生成し、すべてのレコードに署名し、Delegation Signer (DS) レコードを作成します。DS レコードは、公開鍵の暗号化フィンガープリントです。

    2. DS レコードを Alibaba Cloud に送信します。Alibaba Cloud は、.com などのトップレベルドメイン (TLD) の公式データベースに同期します。

    このプロセスは、公開鍵を上位の権威に登録するのと似ています。

    検証フェーズ (自動)

    ユーザーがドメイン名にアクセスすると、DNSSEC 対応のリゾルバーは次のステップを実行します:

    1. .com トップレベルドメインから登録済みの DS レコード (公式フィンガープリント) を取得します。

    2. ドメインの DNS プロバイダーから現在の公開鍵 (DNSKEY) を取得します。

    3. DNSKEY からフィンガープリントを計算し、DS レコードと比較します。一致する場合、リゾルバーは応答を信頼します。一致しない場合、応答を拒否します。

    検証済みの DNS データのみがユーザーに返されます。これにより、キャッシュ汚染や中間者攻撃を効果的に防ぎます。

    手順

    ステップ 1: DNS プロバイダーから DS レコードを取得する

    • DNS サービスが Alibaba Cloud でホストされている場合: Alibaba Cloud DNS - Authoritative DNS ページで、ドメイン名リストからターゲットドメイン名を見つけ、ドメイン名の右側にある [DNSSEC 設定] をクリックします。機能を有効にした後、構成ページから必要な情報を取得します。

      image

    • DNS サービスが Alibaba Cloud 上にない場合: DNS プロバイダーから DS レコードを取得します。

    ステップ 2: Alibaba Cloud ドメインコンソールで DS レコードを追加する

    1. ドメイン名リスト ページで、構成するドメイン名を見つけ、[操作] 列で [管理] をクリックします。[DNSSEC 設定] ページで、[DS レコードの追加] をクリックします。

    2. DNS プロバイダーから取得した DS データを入力します。次に、[送信] をクリックして検証を完了します。

    説明

    各ドメイン名に最大 8 個の DS レコードを追加できます。

    ステップ 3: 構成の検証

    • 推奨ツール: DNSViz

    • 検証方法: ツールにドメイン名を入力して分析を開始します。結果に各レベルで DS レコードが表示され、赤いエラーボックスがない場合、DNSSEC は有効であり、正しく機能しています。

    DNSSEC レコードの管理

    DS レコードの同期

    別のドメイン指定業者から Alibaba Cloud にドメイン名を転送し、元のレgストラーで DNSSEC レコードを既に追加している場合、[DNSSEC 設定] ページで [DS レコードを同期] をクリックして、DNSSEC レコードを Alibaba Cloud 管理コンソールに同期できます。レコードを手動で追加する必要はありません。

    DNSSEC の無効化

    1. [DNSSEC 設定] ページで、DS レコードを削除します。

    2. DNS プロバイダーのコンソールで、DNSSEC を無効にします。

    本番環境に関する推奨事項

    • 有料 DNS プランの有効期限が近づいており、更新する予定がない場合は、まずドメイン指定業者で DS レコードを削除してから、Alibaba Cloud DNS コンソールで DNSSEC を無効にする必要があります。これにより、解決の失敗を防ぎます。

    • DNSSEC を有効にしていて、ドメイン名を別の Alibaba Cloud アカウントに移管する場合は、まずドメイン指定業者で DS レコードを削除してから、Alibaba Cloud DNS コンソールで DNSSEC を無効にする必要があります。これにより、解決の失敗を防ぎます。

    • DNSSEC を有効にしていて、ドメイン名の DNS 解決を別の Alibaba Cloud アカウントに転送する場合は、まずドメイン指定業者で DS レコードを削除してから、Alibaba Cloud DNS コンソールで DNSSEC を無効にする必要があります。これにより、解決の失敗を防ぎます。

    よくある質問

    ドメイン名を移管する際に DNSSEC を無効にする必要があるのはなぜですか?

    解決の失敗を避けるために、ドメイン名を移管する前に DNSSEC を無効にしてください。DNSSEC は、レジストラーの DS レコードに依存して DNS 応答を認証します。移管前に DS レコードを削除しないと、信頼の連鎖が壊れます。再帰リゾルバーは応答を拒否し、サービスの中断を引き起こします。移管が完了した後、DNSSEC を再度有効にすることができます。

    コンソールに自分のドメイン名の DNSSEC 設定オプションがないのはなぜですか?

    すべてのドメイン名サフィックスがサポートされているわけではありません。現在、サポートされているサフィックスには、.com.net.cc.tv.name.biz.club.cn、および .top が含まれます。ドメインコンソールで DNSSEC 設定オプションが見つからない場合、これはドメイン名のサフィックスがこの機能をサポートしていないことを示します。