#author("2023-02-12T12:06:31+09:00","default:k1rou","k1rou")
#author("2023-02-26T09:07:50+09:00","default:k1rou","k1rou")
*DNSSEC [#c02272e3]
**名称 [#l6ce6c9a]
-DNS Security Extensions
**概要 [#j25cc7f8]
-[[DNS]]の拡張仕様
-フルリゾルバと権威サーバ間のDNS応答の正当性を保障する仕組み
--権威サーバが保持しているDNSレコードに[[デジタル署名]]を付けることで、[[真正性]]を証明する
--DNS応答に[[デジタル署名]]を付加することで、フルリゾルバは正当性を検知することができる
--署名対象のデータの単位はリソースレコードセット(RRset)
--署名と署名に使った公開鍵は、権威サーバの[[リソースレコード]](DNSKEY, RRSIG)に登録し公開する
-[[DNSキャッシュポイズニング]]攻撃への対策として有効
***正当性の保障とは [#e69235aa]
-[[完全性]]の保証
--応答レコードが[[改ざん]]されていないこと
-[[否認防止]](なりすまし防止)
--正当な権威サーバによって生成された応答レコードであること
*DNSSEC のフロー [#l1cbe0a5]
+フルリゾルバからの問い合わせに対して、権威サーバは秘密鍵で応答レコードに[[デジタル署名]]を付加して応答する。
+応答を受けたフルリゾルバは、権威サーバの公開鍵で[[デジタル署名]]を検証して、応答レコードの正当性を確認する。
*関連サイト [#k54307d7]
-DNSSEC - JPNIC~
https://www.nic.ad.jp/ja/basics/terms/dnssec.html
*関連用語(DNSSEC) [#g7e82ca3]
-信頼の連鎖
--権威サーバが公開するゾーンの公開鍵に対して親ゾーンが署名することで公開鍵の信頼性を担保する仕組み
--DSリソースレコードを使う
--DS[[リソースレコード]]を使う
-KSK
--Key Signing Key
--鍵署名鍵
--DNSKEY RRset (KSKとZSKの公開鍵)の署名で使う
-ZSK
--Zone Signing Key
--ゾーン署名鍵
--DNSKEY RRset 以外の署名で使う
-不在証明
--データが存在しないことを証明する仕組み
--NSEC, NSEC3, NSEC3PARAMリソースレコードを使う
--NSEC, NSEC3, NSEC3PARAM[[リソースレコード]]を使う
*関連用語 [#p39b2b86]
-[[DNS]]
-[[DNSクッキー]]
-[[電子署名]]
-[[DANE]]
-[[EDNS0]]
編集
添付
差分
バックアップ