![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2023-02-12T12:06:31+09:00","default:k1rou","k1rou") #author("2023-02-26T09:07:50+09:00","default:k1rou","k1rou") *DNSSEC [#c02272e3] **名称 [#l6ce6c9a] -DNS Security Extensions **概要 [#j25cc7f8] -[[DNS]]の拡張仕様 -フルリゾルバと権威サーバ間のDNS応答の正当性を保障する仕組み --権威サーバが保持しているDNSレコードに[[デジタル署名]]を付けることで、[[真正性]]を証明する --DNS応答に[[デジタル署名]]を付加することで、フルリゾルバは正当性を検知することができる --署名対象のデータの単位はリソースレコードセット(RRset) --署名と署名に使った公開鍵は、権威サーバの[[リソースレコード]](DNSKEY, RRSIG)に登録し公開する -[[DNSキャッシュポイズニング]]攻撃への対策として有効 ***正当性の保障とは [#e69235aa] -[[完全性]]の保証 --応答レコードが[[改ざん]]されていないこと -[[否認防止]](なりすまし防止) --正当な権威サーバによって生成された応答レコードであること *DNSSEC のフロー [#l1cbe0a5] +フルリゾルバからの問い合わせに対して、権威サーバは秘密鍵で応答レコードに[[デジタル署名]]を付加して応答する。 +応答を受けたフルリゾルバは、権威サーバの公開鍵で[[デジタル署名]]を検証して、応答レコードの正当性を確認する。 *関連サイト [#k54307d7] -DNSSEC - JPNIC~ https://www.nic.ad.jp/ja/basics/terms/dnssec.html *関連用語(DNSSEC) [#g7e82ca3] -信頼の連鎖 --権威サーバが公開するゾーンの公開鍵に対して親ゾーンが署名することで公開鍵の信頼性を担保する仕組み --DSリソースレコードを使う --DS[[リソースレコード]]を使う -KSK --Key Signing Key --鍵署名鍵 --DNSKEY RRset (KSKとZSKの公開鍵)の署名で使う -ZSK --Zone Signing Key --ゾーン署名鍵 --DNSKEY RRset 以外の署名で使う -不在証明 --データが存在しないことを証明する仕組み --NSEC, NSEC3, NSEC3PARAMリソースレコードを使う --NSEC, NSEC3, NSEC3PARAM[[リソースレコード]]を使う *関連用語 [#p39b2b86] -[[DNS]] -[[DNSクッキー]] -[[電子署名]] -[[DANE]] -[[EDNS0]]
