DNS Security Extensions(DNSSEC)の概要

DNSSEC(Domain Name System Security Extensions)は、ドメイン名のルックアップに対するレスポンスを認証するドメイン ネーム システム(DNS)の機能です。これらのルックアップに対するプライバシー保護は行いませんが、DNS リクエストに対するレスポンスの改ざんや汚染を防ぎます。

なりすまし攻撃やポイズニング攻撃からドメインを保護するには、次の場所で DNSSEC を有効にして構成します。

  1. DNS ゾーン。ゾーンに対して DNSSEC を有効にしている場合、Cloud DNS は、DNSSEC 鍵(DNSKEY レコード)の作成とローテーション、リソース レコードのデジタル署名(RRSIG)レコードによるゾーンデータの署名を自動的に管理します。

  2. トップレベル ドメイン(TLD)レジストリ(example.com の場合は .com)。TLD レジストリでは、ゾーン内の DNSKEY レコードを認証する DS レコードが必要です。このため、ドメイン登録事業者で DNSSEC を有効にします

  3. DNS リゾルバ。DNSSEC による完全な保護のため、DNSSEC 署名ドメインの署名を検証する DNS リゾルバを使用する必要があります。ネットワークの DNS サービスを管理する場合は、個々のシステムまたはローカル キャッシュ リゾルバの検証を有効にできます。

    DNSSEC 検証の詳細については、次のリソースをご覧ください。

    DNSSEC、特に Google Public DNSVerisign Public DNS を検証するパブリック リゾルバを使用するようにシステムを構成することもできます。

2 番目のポイントは、DNSSEC が動作できるドメイン名を制限します。登録事業者とレジストリは、使用する TLD で DNSSEC をサポートしている必要があります。DNSSEC を有効にするためにドメイン登録事業者から DS レコードを追加できない場合は、Cloud DNS で DNSSEC を有効にしても効果はありません。

DNSSEC を有効にする前に、次のリソースを確認してください。

TLD レジストリで DNSSEC がサポートされていても、登録事業者ではサポートされていない場合(または、その TLD でサポートされていない場合)は、DNSSEC をサポートしている別の登録事業者にドメインを転送できる場合があります。このプロセスが完了したら、ドメインに対して DNSSEC を有効にできます。

管理オペレーション

DNSSEC の管理手順については、次のリソースをご覧ください。

DNSSEC により拡張されるレコードセット タイプ

レコードセット タイプとその他のレコードタイプの詳細については、次のリソースをご覧ください。

  • ドメインの TLS またはその他の証明書を生成できる公開認証局(CA)を制御する方法については、CAA レコードをご覧ください。

  • IPsec トンネルを介した日和見暗号化を有効にする方法については、IPSECKEY レコードをご覧ください。

DNSSEC で保護されたゾーンを持つ DNS レコードタイプ

DNS レコードの種類やその他のレコードタイプの詳細については、次のリソースをご覧ください。

  • SSH クライアント アプリケーションが SSH サーバーを検証できるようにするには、SSHFP レコードをご覧ください。

DNSSEC 対応ゾーンの移行または転送

Cloud DNS では、信頼チェーンを中断することなく、ドメイン レジストリで DNSSEC が有効になっている DNSSEC 対応ゾーンを移行できます。移行をサポートしている他の DNS オペレーターとの間でゾーンを移行できます。

既存のドメインが登録事業者によってホストされている場合は、別の登録事業者に転送する前に、ネームサーバーを Cloud DNS に移行することをおすすめします。

次のステップ