DNS Security(DNSSEC)

DNSSEC は、ドメインネーム ルックアップに対するレスポンスを認証するドメインネーム システムの機能です。これらのルックアップに対するプライバシー保護は行いませんが、攻撃者が DNS リクエストに対するレスポンスを改ざんまたは汚染できないようにします。

ドメインをなりすまし攻撃や汚染攻撃から保護するために、次の 3 か所で DNSSEC を有効にして構成する必要があります。

  1. ドメインの DNS ゾーンは、ゾーンの内容を認証するため、公開鍵(DNSKEY)、署名(RRSIG)、不在(NSEC または NSEC3 と NSEC3PARAM)に関する特別な DNSSEC レコードを提供する必要があります。Cloud DNS では、ゾーンの DNSSEC を有効にすると、これが自動的に管理されます。

  2. トップレベル ドメイン レジストリ(example.com の場合は .COM)には、ゾーン内の DNSKEY レコードを認証する DS レコードが必要です。このためには、ドメイン レジストラで DNSSEC を有効にします

  3. DNSSEC による完全な保護のために、クライアントは DNSSEC 署名ドメインの署名を検証する DNS リゾルバを使用する必要があります。個々のシステムまたはローカル DNS リゾルバの検証を有効にできます(この PDF ガイドの付録を参照)。DNSSEC、特に Google Public DNSVerisign Public DNS を検証するパブリック リゾルバを使用するようにシステムを構成することもできます。

2 番目のポイントは、DNSSEC が動作できるドメイン名を制限します。レジストラとレジストリの両方が、ご使用のトップレベル ドメインの DNSSEC をサポートしている必要があります。DNSSEC を有効にするためにドメイン レジストラから DS レコードを追加できない場合は、Cloud DNS で DNSSEC を有効にしても効果はありません。

DNSSEC を有効にする前に、DNSSEC ドキュメントでドメイン レジストラとトップレベル ドメイン レジストリの両方について確認し、Google Cloud コミュニティ チュートリアルのドメイン レジストラ固有の手順、およびドメイン レジストラ DNSSEC サポートの ICANN リストを参照し、ご使用のドメインでの DNSSEC サポートを確認してください。トップレベル ドメイン レジストリで DNSSEC がサポートされていても、レジストラではサポートされていない場合(またはトップレベル ドメインでサポートされていない場合)は、DNSSEC をサポートしている別のレジストラにドメインを転送できます。このプロセスが完了したら、ドメインに対して DNSSEC を有効にできます。

管理作業

各作業の手順については、(「関連情報」にある)DNSSEC の管理を参照するか、以下のリンクをクリックしてください。

DNSSEC、ドメイン転送、ゾーン移行

DNSSEC 署名ゾーンの Google Cloud DNS への移行

DNSSEC 転送状態の終了

Google Cloud DNS からの DNSSEC 署名ゾーンの移行

DNSSEC で署名されたサブドメインの委任

DNSSEC により拡張されるレコードセット タイプ

これらのレコードタイプやその他のレコードタイプについては、高度な DNSSEC を参照するか、または以下のリンクをクリックしてください。

CAA レコード

IPSECKEY レコード

DNSSEC で保護されたゾーンでの新しい DNS レコードタイプの使用

これらのレコードタイプやその他のレコードタイプについては、高度な DNSSEC を参照するか、または以下のリンクをクリックしてください。

SSHFP レコード

次のステップ

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

Cloud DNS のドキュメント