まだまだほとんど普及していないと言っても過言ではないDNSSEC(Domain Name System Security Extensions)とは、簡単に言えば、ドメインの名前解決においてDNS応答が正しいものであるかを鍵と署名をつけてチェックしてくれるものです。

皆さん、こんにちは。
業務改善を行う業務コンサルタント、高橋です。
以前に一度DNSSECに関して触れたことがあります。
DNSSECを使えるなら使うべきという記事にて触れさせていただきました。
これをおさらいしておくと下記のようなことを行っています。
DNS応答の完全性検証
ドメインは、DNSというものにて名前の解決を行っています。
簡単には、住所のようなIPアドレスとドメインの紐づけを行っているようなものなのですが、そのDNSの応答は答えが正しいものかどうかのチェックを行っていません。
それにより、偽装された応答を紛れ込ませておいて偽サイトのサーバーへ誘導させてしまうことも起きています。
それを防ぐためにDNSSECというものを使い、ユーザーがWEBサイトを訪れようとした際に行われるDNS応答が正しいものであるかを鍵と署名をつけて返し、それらから守ったりします。
DNSSECの署名キー作成と設定
しかし、DNSSECというものでDNSを保護できることを知ったとしても、その作成から設定に至るまでの手順があまり知られていないように感じます。
そこでDNSSECの作成・設定手順を記載しておきます。
1.ウェブサイトを置いているホスティング会社にDNSSECの署名キー作成・発行依頼をします。
(例:お名前.comのサーバーを使っているのであればお名前.comへ依頼)
2.example.jp. 86400 IN DS 60485 5 1 (2BB183AF5F225…)といった感じのものが発行されます。
3.2の内容をドメインを管理している指定事業者(お名前.comのようなところ)へ登録します。
基本的にはこの手順でDNSSECの設定は完了します。
ただし、1と3のそれぞれにおいてDNSSECの対応をしていることが前提になりますので、対応の可否は契約先に確認してみてください。
追伸:アルゴリズム番号は”8″か”10″(海外のように”13″の対応がまだなので)、ハッシュは”SHA-256″をお勧めします。