Domain Name System Security Extensions (DNSSEC) は、デジタル署名を使用して DNS 応答を検証することで、ドメイン名にセキュリティレイヤーを追加します。これにより、ユーザーが DNS ハイジャックや中間者攻撃から保護され、ご利用のドメイン名に対応する真正な Web サイトまたはサービスに接続されるようになります。
仕組み
DNSSEC は DNS クエリのプロセスを変更しません。代わりに、デジタル署名と信頼チェーンを使用して、ユーザーが受信する解決結果が偽造または改ざんされていないことを保証します。
このプロセスは次の 2 つのフェーズで構成されます。
構成フェーズ(管理者による操作)
Alibaba Cloud DNS などの権威 DNS プロバイダーで DNSSEC を有効にします。システムは鍵を生成し、すべてのレコードに署名して、Delegation Signer (DS) レコードを作成します。DS レコードは公開鍵の暗号的指紋です。
DS レコードをドメイン指定業者(例:Alibaba Cloud)に提出します。その後、指定業者はこれをトップレベルドメイン (TLD)(例:
.com)のレジストリに同期します。
検証フェーズ(自動)
ユーザーがドメイン名にアクセスすると、DNSSEC 対応のリゾルバーは以下の手順を実行します。
.comTLD レジストリから登録済みの DS レコード(公式指紋)を取得します。ドメイン名の DNS プロバイダーから現在の公開鍵(DNSKEY)を取得します。
DNSKEY から指紋を計算し、DS レコードと比較します。一致する場合、リゾルバーはその応答を信頼します。一致しない場合は、応答を拒否します。
検証済みの DNS データのみがユーザーに返されます。これにより、DNS キャッシュポイズニングおよび中間者攻撃を効果的に防止できます。
操作手順
ステップ 1:DNS プロバイダーから DS レコードを取得する
DNS サービスが Alibaba Cloud でホストされている場合: Alibaba Cloud DNS コンソールの パブリックゾーン ページで、対象のドメイン名を見つけ、DNSSEC の設定 を [操作] 列でクリックします。機能を有効化した後、構成ページから必要な情報を取得します。
DNS サービスが Alibaba Cloud 外でホストされている場合: DNS プロバイダーから DS レコードを取得します。
ステップ 2:Alibaba Cloud ドメインコンソールで DS レコードを追加する
「ドメイン」ページに移動し、設定するドメイン名を検索して、「操作」列の[管理]をクリックします。
ドメイン詳細ページの左側ペインで、DNSSEC の設定 をクリックします。
表示されたページの右上隅にある DS レコードの追加 をクリックします。
DNS プロバイダーから取得した DS データを入力し、送信 をクリックして認証を完了します。
各ドメイン名に対して最大 8 件の DS レコードを追加できます。
ステップ 3:構成を検証する
推奨ツール:DNSViz
検証方法:ツールにご利用のドメイン名を入力し、分析を開始します。結果に DNS 階層の各レベルで DS レコードが表示され、赤色のエラーボックスが表示されない場合、DNSSEC が有効になって正常に動作していることを示します。
DNSSEC レコードの管理
DS レコードの同期
他のレジストラーから Alibaba Cloud にドメイン名を転送し、元のレジストラーで既に DNSSEC レコードを追加済みの場合、DNSSEC の設定 ページで DS レコードの同期 をクリックすると、DNSSEC レコードが Alibaba Cloud 管理コンソールに同期されます。手動でレコードを追加する必要はありません。
DNSSEC の無効化
Alibaba Cloud ドメインコンソールで、ご利用のドメイン名の DNSSEC の設定 ページに移動し、DS レコードを削除します。
DNS プロバイダーのコンソールで、DNSSEC を無効にします。
注意事項
DNS 解決の失敗を防ぐため、DNS プロバイダーの変更またはドメイン名の転送を行う前に、必ずドメイン指定業者で DS レコードを削除して DNSSEC を無効にしてください。これを行わないと、DNSSEC の信頼チェーンが中断され、ご利用のドメイン名が到達不能になります。
有料 DNS サービスの有効期限が近づいている場合: Alibaba Cloud の有料 DNS サービスを更新せずに有効期限切れにする予定の場合は、まずドメイン指定業者で DS レコードを削除し、その後 Alibaba Cloud DNS コンソールで DNSSEC を無効にしてください。
ドメイン名を別の Alibaba Cloud アカウントに転送する場合: ドメイン名の転送前に、まずドメイン指定業者で DS レコードを削除し、その後 Alibaba Cloud DNS コンソールで DNSSEC を無効にしてください。
ドメイン名の DNS レコードを別の Alibaba Cloud アカウントに転送する場合: DNS レコードの転送前に、まずドメイン指定業者で DS レコードを削除し、その後 Alibaba Cloud DNS コンソールで DNSSEC を無効にしてください。
よくある質問
ドメイン名を転送する際に DNSSEC を無効にする必要があるのはなぜですか?
解決の失敗を回避するため、ドメイン名の転送前には DNSSEC を無効にしてください。DNSSEC は、レジストラーに登録された DS レコードを使用して DNS 応答を認証します。転送前に DS レコードを削除しない場合、信頼チェーンが中断され、再帰的リゾルバーが応答を拒否するため、サービス中断が発生します。転送完了後に DNSSEC を再度有効化できます。
ご利用のドメイン名についてコンソールに「DNSSEC 構成」オプションが表示されないのはなぜですか?
DNSSEC はすべての TLD でサポートされているわけではありません。現在サポートされている TLD には、.com、.net、.cc、.tv、.name、.biz、.club、.cn、および .top が含まれます。ドメインコンソールに DNSSEC 構成 オプションが表示されない場合、ご利用のドメイン名の TLD がこの機能をサポートしていないことを示しています。