DNSSEC
2023-02-26 (日) 09:07:50
DNSSEC †
名称 †
- DNS Security Extensions
概要 †
- DNSの拡張仕様
- フルリゾルバと権威サーバ間のDNS応答の正当性を保障する仕組み
- DNSキャッシュポイズニング攻撃への対策として有効
正当性の保障とは †
- 否認防止(なりすまし防止)
- 正当な権威サーバによって生成された応答レコードであること
DNSSEC のフロー †
- フルリゾルバからの問い合わせに対して、権威サーバは秘密鍵で応答レコードにデジタル署名を付加して応答する。
- 応答を受けたフルリゾルバは、権威サーバの公開鍵でデジタル署名を検証して、応答レコードの正当性を確認する。
関連サイト †
- DNSSEC - JPNIC
https://www.nic.ad.jp/ja/basics/terms/dnssec.html
関連用語(DNSSEC) †
- 信頼の連鎖
- 権威サーバが公開するゾーンの公開鍵に対して親ゾーンが署名することで公開鍵の信頼性を担保する仕組み
- DSリソースレコードを使う
- KSK
- Key Signing Key
- 鍵署名鍵
- DNSKEY RRset (KSKとZSKの公開鍵)の署名で使う
- ZSK
- Zone Signing Key
- ゾーン署名鍵
- DNSKEY RRset 以外の署名で使う
- 不在証明
- データが存在しないことを証明する仕組み
- NSEC, NSEC3, NSEC3PARAMリソースレコードを使う