DNSSECは、DNSの上に認証レイヤーを追加します。 DNSSECを設定するには、まずCloudflareダッシュボードでDNSSECを有効にしてから、ドメインレジストラーでDSレコードを追加します。
概要
DNSSECは、安全でないDNSインフラストラクチャに認証レイヤーを追加します。 これにより、訪問者がドメインをWebブラウザーに入力すると、訪問者はWebサーバーに誘導されるので、中間者攻撃やほかの種類のDNS応答の偽造を回避できます。
DNSSECを有効にすると、Cloudflareは次のことを行います:
- ゾーンを署名する
- 公開署名鍵を公開する
- DSレコードを生成する
すべてのレジストラーとトップレベル ドメイン(TLD)が DNSSECをサポートしているわけではないことに注意してください。 オプションを探るには、「レジストラーまたはTLDがDNSSECをサポートしていない場合はどうなりますか?」を参照してください。
ドメインのDNSSECを有効にするには、CloudflareでDNSSECを有効にし、レジストラーでDNS設定に特別なレコードを追加する必要があります。
以下は、Cloudflareによってプロキシされた¥ドメインにDNSSECサポートを追加するのに必要な2つの手順です:
手順1 - CloudflareのDNS経由でDNSSECを有効にする
Cloudflareダッシュボードで最初にDNSSECを有効にすることで、レジストラーでドメインに委任署名者(DS)レコードを追加するのに必要なデータをCloudflareに生成するよう依頼することになります。
Cloudflare DSレコードデータを取得するには、次の手順に従います:
1. Cloudflareダッシュボードにログインします。
2. 必要なDSレコードのWebサイトが選択されていることを確認します。
3. DNSアプリをクリックします。
4. 「DNSSEC」パネルまでスクロールダウンします。
5. 「DNSSECを有効にする(Enable DNSSEC)」をクリックします。DSレコードがレジストラーに追加されるまで、設定が保留になることを知らせるダイアログが表示されます。
6. 次に、「DNSSEC」パネルにある「DS Record」ドロップダウンをクリックして展開します。
7. 以下の手順2で必要になるので、表示されるDSレコード情報をコピーします。
手順2 - レジストラーにDSレコードを追加する
上記の手順1を完了した後で、この手順を行うためにCloudflare生成のDSデータを手元に用意しておいてください。
DNSSEC設定を完了するには、レジストラーでのドメインDNS設定にDSレコードがある必要があります。 以下の中からお使いのレジストラーを見つけて、表示される指示に従ってください。
レジストラー | 手順 |
123 Reg | レジストラーのカスタマーサポートに連絡して、Cloudflareから受け取ったDSレコードデータを提供します。 |
DNSimple | |
domaindiscount24 | |
dotster | レジストラーのカスタマーサポートに連絡して、Cloudflareから受け取ったDSレコードデータを提供します。 |
DreamHost | DreamHostでは、SHA256ではなく2をダイジェストタイプとして使用します。 |
dynadot | |
enom | |
gandi | gandiでは、「アルゴリズム(Algorithm)」ドロップダウンで「アルゴリズム13(Algorithm 13)」を選択してください。 |
GoDaddy | |
godzone | レジストラーのカスタマーサポートに連絡して、Cloudflareから受け取ったDSレコードデータを提供します。 godzoneのWeb制御パネルでは、「ドメイン(Domains)」タブでDS レコードを追加できる場合があります。 |
Google Domains | カスタムネームサーバーに関する手順を参照してください。 |
hover | |
internet.bs | レジストラーのカスタマーサポートに連絡して、Cloudflareから受け取ったDSレコードデータを提供します。 次の手順でDSレコードを追加できる場合があります:
|
Joker.com | Joker.comでは、SHA256ではなく2をダイジェストタイプとして使用します。 |
MarkMonitor | MarkMonitorは、検証アルゴリズム13をサポートしていて、Extensive Provisioning Protocol(EPP)を自動的に実装して、以下のTLDのレジストリ―にDSレコードを引き渡します: .com、.biz、.net、.org、.us、.eu、.fr、.de、.co、.lu、.ch、.be、.li、.co.uk、wf、.tf、.pm、.yt、.se、.af、.cx、.gs、.hn、.ki、.nf、.sb、.tl、.re DSレコードを追加するには、MarkMonitor管理ポータルの「DNSSEC詳細(DNSSEC Details)」パネルにDSデータを入力します。 |
Moniker | レジストラーのカスタマーサポートに連絡して、Cloudflareから受け取ったDSレコードデータを提供します。 次の手順でDSレコードを追加できる場合があります:
|
name.com | |
namecheap | |
nameISP | nameISPでDNSSECを有効にする場合、CloudflareアカウントからDSレコードデータをコピーして貼り付ける必要はありません。 |
namesilo | |
OVH | OVHは、APIを介してアルゴリズム13を使用するDNSSECをサポートしています。ドキュメントを参照してください。 OVHは、DNSマネージャーを介したDSレコードの追加もサポートしています。 |
Public Domain Registry | レジストラーのカスタマーサポートに連絡して、Cloudflareから受け取ったDSレコードデータを提供します。 このレジストラーは、TLDが限定的である可能性があります。 「Delegation Signer(DS)レコードを追加する」を参照してください。 |
register.com | レジストラーのカスタマーサポートに連絡して、Cloudflareから受け取ったDSレコードデータを提供します。 |
registro.br | DNS e DNSSEC Tutoriais(ポルトガル語) |
Tsohost | レジストラーのカスタマーサポートに連絡して、Cloudflareから受け取ったDSレコードデータを提供します。 |
レジストラーまたはTLDがDNSSECをサポートしていない場合はどうなりますか?
DNSSECを有効にするには、レジストラーとレジストリー(TLD)の両方が、Cloudflareが推奨する暗号アルゴリズム13を利用したDNSSECをサポートしている必要があります。
DNSSECのサポートはICANNによって義務付けられていて、長年アルゴリズム13の使用が標準化されていますが、一部のレジストラーおよびレジストリーは、こうしたプロトコルを未だにサポートしていません。
レジストラーにDNSSECのサポートを促すには、次の3つの方法があります:
1. レジストラ―に連絡して、最新の暗号アルゴリズムを利用したDNSSECを要求します。 多くのレジストラーは、需要の高まりを確認するまでサポートを追加するのを待っているので、アルゴリズム13を利用したDNSSECが必要であることを知らせてください。
2. 上記の手順2に記載されているように、アルゴリズム13を利用したDNSSECをサポートしている別のレジストラーにドメインを移行することができます。
3. 最後に、レジストラーの契約遵守についてICANNに苦情を申し立てることができます。ICANNでは利用可能なすべてのDSアルゴリズムタイプを利用したDNSSECをサポートすることをレジストラーに義務付けています。
TLDレベルでのサポートが足りない場合は、上記のオプション1を試してみます。 TLDレジストリーの連絡先情報は、Iana Root Zone Databaseにあります。
DNSSECの詳細を確認する
- Cloudflare DNSSEC
- DNSSECのトラブルシューティングを行う
- ブログ - Universal DNSSECの発表:すべてのドメインに安全なDNS
- ブログ - DNSSECの概要
- アルゴリズム13サポートについて - ECDSA:DNSSECの欠落している部分
- DNSSECサポーのないTLDの一覧