DNSSEC管理
DNSSECとは
DNSSECとは、DNSのレコード情報に電子署名を付与することによって、情報が改竄されていないことを検証できるようにする仕組みです。本サービスはDNSSECに対応しており、DNSSEC運用に必要な作業のうちDSレコード更新とKSKロールオーバーを除くすべての作業を自動で行えます。
【参考】
ドメイン管理サービスをご利用の場合は、DSレコードの更新も自動で行います。お客様の作業はありません。
ドメイン管理に他社サービスをご利用の場合は、レジストラ(指定事業者)にてDSレコードを登録する必要があります。登録方法はそれぞれのレジストラ(指定事業者)にお問い合わせください。
レジストラ(指定事業者)がCDSレコードに対応している場合、登録されたCDSレコードを参照してDSレコードを自動で更新します。お客様によるDSレコードの更新作業は必要ありません。
CDSレコードに対応しているかは契約されているレジストラ(指定事業者)にお問い合わせください。
初期状態では自動でDNSSEC署名される設定になっています。ただし、実際にDNSSECを検証できるようにするためには、上位ゾーンにDSレコードを登録する必要があります。
【注意】
DSレコードを登録しないまま使用することもできますが、その際はDNSSECの検証はできませんので、DNSSEC署名設定を無効に変更することをおすすめします。
DNSSEC署名設定
初期状態は「有効」です。
ただし、有効になっていてもすぐにはDNSSEC検証できるようにはなりません。下記のDNSSEC状態が「有効」である必要があります。
DNSSEC状態
現在のDNSSEC状態を表示します。以下の表に示す状態があります。無効から有効に、または有効から無効に切り替える際には、上位ゾーンに対してDSレコードをそれぞれ登録、削除する必要があります。その登録・削除が確認されるまでは、状態は「有効化(無効化)作業中」のままとなり、次の状態に遷移しませんのでご注意ください。DSレコードの登録・削除については「DSレコードの更新」をご覧ください。
| 状態 | 署名 | 検証 | DSレコード | DNSSEC署名設定 | 説明 | |
|---|---|---|---|---|---|---|
| 有効→無効 | 無効→有効 | |||||
| ゾーン公開前 | なし | 不可 | なし | 不可 | - | 契約後、利用開始日前の状態です |
| 無効 | なし | 不可 | なし | - | 可 | 署名されていない状態です |
| 有効化作業中 | あり | 不可 | あり | 可 | - | 無効から有効に切り替えている状態です |
| 有効 | あり | 可 | あり | 可 | - | DNSSECが有効の状態です |
| 無効化作業中 | あり | 可 | あり | - | 不可 | 有効から無効に切り替えている状態です |
【注意】
- 上表で「DSレコード」の項目が「あり」になっているのはレジストラ(指定事業者)にDSレコードが登録されている(またはその可能性がある)状態です。DSレコードが登録された状態でDNSSEC署名がなくなると、DNSSEC検証が有効になっているキャッシュサーバから名前解決ができなくなります。
- DNSSEC署名設定の有効/無効の切り替えでこのような現象が発生することはありませんが、署名設定が「有効」のままネームサーバを変更する(NSレコードを変更する、レジストラ(指定事業者)にネームサーバ変更申請する)と、 変更先のネームサーバから適切な署名を得られずに名前解決できなくなります。DSレコードが存在する状態(有効化作業中/有効/無効化作業中)でネームサーバを変更しないでください。
- 有効化/無効化にはそれぞれ数日間かかります。スケジュールに余裕をもって作業を行ってください。
- 「有効化作業中」から「有効」になかなか変更されない場合は、「Q. DNSSECの状態が「有効化作業中」のまま「有効」に変わりません」をご覧ください。
KSKロールオーバー
同じDNSSEC署名鍵を長期間利用し続けていると鍵が解析される可能性が高まるため、定期的な更新が推奨されています。
ここではDNSSEC署名鍵のうち、KSK(Key Signing Key)を更新できます。
【参考】
KSKロールオーバーは自動では行いません。1年から数年ごとの間隔で手動で実施することをおすすめします。
KSKロールオーバーの作業は開始から完了まで最短で数日かかります。
- 「KSKロールオーバー」をクリックします。
- 「ロールオーバー」をクリックします。
ロールオーバー作業が開始されます。作業中でも名前解決及び署名検証には影響ありません。
【注意】
- KSKロールオーバー作業中にDSレコードの更新が必要になります。DSレコードの更新が可能になってから10日間更新されなかった場合、KSKロールオーバーは取り消され、以前のKSKが引き続き使用されます。
- ZSK(Zone Signing Key)については、システム内部で自動にてロールオーバーを行いますので、お客様の作業は必要ありません。
DSレコードの更新
「ドメイン管理サービス」をご利用ではないドメインの場合、DNSSEC署名設定の切り替え、またはKSKロールオーバーを開始してしばらくすると、DSレコードの更新をうながすメッセージが表示されます。
| 作業 | DSレコード更新内容 | |
|---|---|---|
| DNSSEC有効化 | DSレコード登録 | 表示されているDSレコードを上位ネームサーバに登録してください |
| DNSSEC無効化 | DSレコード削除 | 登録済みのすべてのDSレコードを上位ネームサーバから削除してください |
| KSKロールオーバー | DSレコード更新 | 登録済みのすべてのDSレコードを上位ネームサーバから削除し、表示されているDSレコードを登録してください |
弊社のドメイン管理サービスをご利用の場合は、DSレコードの更新も自動で行います。上記メッセージが表示されますが、DSレコードの更新は自動で行われます。お客様の作業はありません。
弊社以外のCDSレコードに対応しているレジストラ(指定事業者)を利用している場合は、本サービスで登録されたCDSレコードを参照し、DSレコードが自動で更新されます。お客様によるDSレコード更新作業はありません。
CDSレコードに対応しているかは契約されているレジストラ(指定事業者)にお問い合わせください。
【注意】
- DSレコードの登録/削除が行われないと「有効化(無効化)作業中」のまま状態が変化しません。KSKロールオーバーではDSレコードの更新が可能になってから10日間更新されなかった場合、作業が取り消され以前のKSKが引き続き使用されます。
- DSレコードが登録された状態でネームサーバを変更(NSレコードの変更またはレジストラ(指定事業者)へのネームサーバ変更申請)しないでください。DNSSEC検証が有効になっているキャッシュサーバから名前解決ができなくなります。
CDSレコードの利用
本サービスはCDS(child DS)レコードに対応しています。
DNSSEC有効化・無効化・KSKロールオーバーでDSレコードの更新が必要になったタイミングで、自動的にCDSレコードをゾーンに登録します。ドメインレジストリまたはレジストラ(指定事業者)がCDSレコードに対応している場合、登録されたCDSレコードを参照してDSレコードを自動で更新するため、お客様によるDSレコード更新作業は必要ありません。CDSレコードに対応しているかどうかはご利用のレジストラ(指定事業者)にお問い合わせください。
また、契約されているゾーンのDNSSEC状態が「有効」であり、かつそのゾーンにサブドメインが存在して適切に権威が委譲されている場合、該当サブドメインにCDSレコードが存在するか定期的にチェックします。CDSレコードが存在し、その内容に問題なければご契約ゾーンに自動でDSレコードを登録します。
CDSレコードの詳細につきましてはRFC8078をご覧ください。
【参考】
CDSレコード登録後、DSレコードが登録されるまでに数時間から数日程度かかることがあります。
本サービスではCDNSKEYは参照しません。