DNS Security Extensions(DNSSEC)の概要

DNSSEC(Domain Name System Security Extensions)は、ドメイン名のルックアップに対するレスポンスを認証するドメイン ネーム システム(DNS)の機能です。これらのルックアップに対するプライバシー保護は行いませんが、DNS リクエストに対するレスポンスの改ざんや汚染を防ぎます。

ドメインをなりすましやポイズニング攻撃から保護するため、次の 3 か所で DNSSEC を有効にして構成する必要があります。

  1. ドメインの DNS ゾーンは、ゾーンの内容を認証するため、公開鍵(DNSKEY)、署名(RRSIG)、不在(NSEC または NSEC3 と NSEC3PARAM)に関する特別な DNSSEC レコードを提供する必要があります。Cloud DNS では、ゾーンの DNSSEC を有効にすると、これが自動的に管理されます。

  2. トップレベル ドメイン(TLD)レジストリ(example.com の場合は .com)には、ゾーン内の DNSKEY レコードを認証する DS レコードが必要です。このためには、ドメイン登録事業者で DNSSEC を有効にします

  3. DNSSEC による完全な保護のため、DNSSEC 署名ドメインの署名を検証する DNS リゾルバを使用する必要があります。ネットワークの DNS サービスを管理する場合は、個々のシステムまたはローカル キャッシュ リゾルバの検証を有効にできます。

    DNSSEC 検証の詳細については、次のリソースをご覧ください。

    DNSSEC、特に Google Public DNSVerisign Public DNS を検証するパブリック リゾルバを使用するようにシステムを構成することもできます。

2 番目のポイントは、DNSSEC が動作できるドメイン名を制限します。登録事業者とレジストリは、使用する TLD で DNSSEC をサポートしている必要があります。DNSSEC を有効にするためにドメイン登録事業者から DS レコードを追加できない場合は、Cloud DNS で DNSSEC を有効にしても効果はありません。

DNSSEC を有効にする前に、次のリソースを確認してください。

TLD レジストリで DNSSEC がサポートされていても、登録事業者ではサポートされていない場合(または、その TLD でサポートされていない場合)は、DNSSEC をサポートしている別の登録事業者にドメインを転送できる場合があります。このプロセスが完了したら、ドメインに対して DNSSEC を有効にできます。

管理オペレーション

DNSSEC の管理手順については、次のリソースをご覧ください。

DNSSEC により拡張されるレコードセット タイプ

レコードセット タイプとその他のレコードタイプの詳細については、次のリソースをご覧ください。

  • ドメインの TLS またはその他の証明書を生成できる公開認証局(CA)を制御する方法については、CAA レコードをご覧ください。

  • IPsec トンネルを介した日和見暗号化を有効にする方法については、IPSECKEY レコードをご覧ください。

DNSSEC で保護されたゾーンでの新しい DNS レコードタイプの使用

DNS レコードの種類やその他のレコードタイプの詳細については、次のリソースをご覧ください。

  • SSH クライアント アプリケーションが SSH サーバーを検証できるようにするには、SSHFP レコードをご覧ください。

次のステップ

  • DNSSEC 鍵レコードを表示するには、DNSSEC 鍵の表示をご覧ください。
  • マネージド ゾーンの作成、更新、一覧表示、削除については、ゾーンの管理をご覧ください。
  • Cloud DNS の使用時に発生する可能性のある一般的な問題の解決策については、トラブルシューティングをご覧ください。
  • Cloud DNS の概要については、Cloud DNS の概要をご覧ください。