DNSSECとは何ですか?
DNSセキュリティ拡張(DNSSEC)は高度なDNS機能で、デジタル署名(DS)レコードをDNS情報にアタッチすることによりドメインのセキュリティ層を追加します。プレミアムDNSにアップグレードすると、アカウントでDNSSECを有効化できます。自己管理DNSSECをお使いの場合は、手動でアカウントにDSレコードを追加することができます。
質問を選択して回答を確認してください。
- DNSSECとは何ですか?
- DNSSECを有効後、自分のWebサイトでは解決できなくなったのは何故でしょうか?
- DNSSECを有効にする方法とマイゾーンに署名する方法を教えてください。
- 自分がリクエストしたURLがDNSSEC対応であるかどうかを確認する方法を教えてください。
- DNSSECがインターネットの安全性を高めてくれるなら、どうしてすべての人が使わないのでしょう。
- DNSSECを使用すべきでない場合はありますか?
DNSSECとは何ですか?
ドメイン名システムセキュリティ拡張機能(DNSSEC)は、ドメイン名のDNS(ドメイン名システム)にデジタル署名を追加して、ソースドメイン名の信頼性を判断します。これは、要求された正規のアドレスではない、紛らわしいアドレスや悪意のあるアドレスなど、偽造されたDNSデータからインターネットユーザーを保護するように設計されています。
DNSSECが有効になっている場合、DNSルックアップはデジタル署名を使用してサイトのDNSのソースが有効であることを確認します。これにより、特定の種類の攻撃を防ぐことができます。デジタル署名が一致しない場合、ブラウザにはサイトが表示されません。
DNSSECを有効後、自分のWebサイトでは解決できなくなったのは何故でしょうか?
DS(署名委任)レコードに保存するデジタル署名は、ドメインのネームサーバーが生成するデジタル署名と一致している必要があります。そうでない場合、ドメインはWebサイトに解決できません。入力したDSレコード情報をネームサーバーに保存されているゾーンレコードと比較し、それらが一致することを確認してください。
DNSSECを有効にする方法とマイゾーンに署名する方法を教えてください。
GoDaddyでは、プレミアムDNSによってDNSSECの完全管理オプションもご提供しています。お持ちのドメインがGoDaddyのネームサーバーを利用している場合、ドメインでDNSSECを有効にすることができ、弊社がお客様に代わってゾーン署名プロセスを処理します。
ドメインはGoDaddyで登録されているが、GoDaddyのネームサーバーを利用していない場合、ご利用のDNSプロバイダを通じて自己管理DNSSECをセットアップする必要があります。プライベートキーとパブリックキーをデジタルで作成し、ドメインの署名手続き時に署名宣言レコードを生成する必要があります。要件と制限は、ドメインのレジストリとDNSプロバイダによって異なる場合があります。ご利用のDNSプロバイダに詳細をお問い合わせいただくか、GoDaddyのネームサーバーとプレミアムDNSに切り替えてから弊社を通じて完全管理DNSSECを有効化してください。
自分がリクエストしたURLが、DNSSEC対応であるかどうかを確認する方法を教えてください。
DNSSEC対応のURLの検証において不具合が発生した場合、サイトが存在しないことを示すメッセージが送られてきます。
残念ながら、現在のところ各ブラウザではDNSSECを識別するように設定していません。DNSSECで保護されたサイトに、SSLで保護されているサイトの南京錠アイコンのような、視覚的なフィードバックは表示されません。
DNSSECはインターネットの安全性を高めてくれるものであり、導入しない手はありません。
DNSSECをインターネット全体に導入することは大変な作業です。導入には世界中で労力、共通理解、費用(大抵の場合、かなりの金額)が求められるからです。一度に1つのドメイン名の拡張子とそのレジストリ、というペースではありますが、導入は着実に進んでいます。各拡張子がDNSSEC対応になるに応じて、弊社を介して登録されるドメイン名に対するサポートを強化していきます。
DNSSECを使用すべきでない理由はありますか?
ドメインでDNSSECを使用すべきでない絶対的な理由はありませんが、DNSSECの使用があまり魅力的ではなくなる要因はいくつかあります。DNSSECはより情報集約的であり、サイトのパフォーマンスを低下させる可能性があります。また、DNSが壊れやすくなり、失敗する可能性がわずかに高まります。
しかし、保護すべき重要なデータを持っている人にとっては、これらの潜在的なリスクは最小限であり、DNSSECを有効にすることが価値ある決定となるでしょう。定期的に悪意ある活動の標的になることがなく、機密データを収集せず、注目度の高い地位(政治的人物)にない場合は、DNSSECを使用しなくても構いません。
関連する手順
- プレミアムDNSにアップグレードして、DNSSECを有効化することで、弊社の完全管理DNSSECサービスを活用しましょう。
- 自己管理DNSSECの場合は、ドメインに新しいDSレコードを追加します。
詳細
- 国別コードドメインなどの一部のドメインは、DNSSECに対応していません。
- SSLとWebサイトセキュリティでWebサイトをさらに安全に。
- GoDaddyアカウントを保護するため、2段階認証を有効にすることをお勧めします。
