DNSSEC管理

DNSSECとは

DNSSECとは、DNSのレコード情報に電子署名を付与することによって、情報が改竄されていないことを検証できるようにする仕組みです。本サービスはDNSSECに対応しており、DNSSEC運用に必要な作業のうちDSレコード更新とKSKロールオーバーを除くすべての作業を自動で行えます。

【参考】

IIJドメイン管理サービスをご利用の場合は、DSレコードの更新も自動で行います。お客様の作業はありません。

ドメイン管理に他社サービスをご利用の場合は、レジストラ(指定事業者)にてDSレコードを登録する必要があります。登録方法はそれぞれのレジストラにお問い合わせください。

初期状態では自動でDNSSEC署名される設定になっています。ただし、実際にDNSSECを検証できるようにするためには、上位ゾーンにDSレコードを登録する必要があります。

【注意】

DSレコードを登録しないまま使用することもできますが、その際はDNSSECの検証はできませんので、DNSSEC署名設定を無効に変更することをおすすめします。

DNSSEC署名設定

初期状態は「有効」です。

ただし、有効になっていてもすぐにはDNSSEC検証できるようにはなりません。下記のDNSSEC状態が「有効」である必要があります。

DNSSEC状態

現在のDNSSEC状態を表示します。以下の表に示す状態があります。無効から有効に、または有効から無効に切り替える際には、上位ゾーンに対してDSレコードをそれぞれ登録、削除する必要があります。その登録・削除が確認されるまでは、状態は「有効化(無効化)作業中」のままとなり、次の状態に遷移しませんのでご注意ください。DSレコードの登録・削除については「DSレコードの更新」をご覧ください。

【参考】

世界各地のキャッシュDNSサーバが持っているキャッシュにより遷移前後の状態に矛盾が起きないようにするため、有効化/無効化 にはそれぞれ数日間かかります。

状態署名検証DNSSEC署名設定説明
有効→無効無効→有効
ゾーン公開前なし不可不可-

契約後、利用開始日前の状態です
ゾーンが公開されると自動で「有効化作業中」に遷移します

無効なし不可-

署名されていない状態です
署名設定を「有効」に切り替えると「有効化作業中」に遷移します

有効化作業中あり不可-

無効から有効に切り替えている状態です
途中、DSレコードの登録を行い、さらに一定時間経過すると「有効」に遷移します

有効あり-

DNSSECが有効の状態です
DNSSEC署名設定を「無効」に切り替えると「無効化作業中」に遷移します

無効化作業中あり-不可

有効から無効に切り替えている状態です
途中、DSレコードの削除を行い、さらに一定時間経過すると「無効」に遷移します
作業途中で処理を取り消す(有効に戻す)ことはできないのでご注意ください

KSKロールオーバー

同じDNSSEC署名鍵を長期間利用し続けていると鍵が解析される可能性が高まるため、定期的な更新が推奨されています。

ここではDNSSEC署名鍵のうち、KSK(Key Signing Key)を更新できます。

【参考】

KSKロールオーバーは自動では行いません。1年から数年ごとの間隔で手動で実施することをおすすめします。

KSKロールオーバーの作業は開始から完了まで最短で数日かかります。

  1. 「KSKロールオーバー」をクリックします。
  2. 「ロールオーバー」をクリックします。

    ロールオーバー作業が開始されます。作業中でも名前解決及び署名検証には影響ありません。
【注意】

  • KSKロールオーバー作業中にDSレコードの更新が必要になります。DSレコードの更新が可能になってから10日間更新されなかった場合、KSKロールオーバーは取り消され、以前のKSKが引き続き使用されます。
  • ZSK(Zone Signing Key)については、システム内部で自動でロールオーバーを行いますので、お客様の作業は必要ありません。

 

DSレコードの更新

「IIJドメイン管理サービス」をご利用ではないドメインの場合、DNSSEC署名設定の切り替え、またはKSKロールオーバーを開始してしばらくすると、DSレコードの更新をうながすメッセージが表示されます。

作業DSレコード更新内容
DNSSEC有効化DSレコード登録表示されているDSレコードを上位ネームサーバに登録してください
DNSSEC無効化DSレコード削除登録済みのすべてのDSレコードを上位ネームサーバから削除してください
KSKロールオーバー

DSレコード更新
(既登録DS削除、新DS登録)

登録済みのすべてのDSレコードを上位ネームサーバから削除し、表示されているDSレコードを登録してください

DSレコードの更新はお客様ご自身によりレジストラ(指定事業者)に申請してください。申請手順等につきましてはご契約のレジストラにお問い合わせください。

弊社がレジストラとなっているドメイン(IIJドメイン管理サービスをご契約のドメイン)は、DSレコード更新は自動で行われます。上記メッセージは表示されず、お客様の作業はありません。

【注意】

更新作業が行われないと「有効化(無効化)作業中」のまま状態が変化しません。KSKロールオーバーではDSレコードの更新が可能になってから10日間更新されなかった場合、作業が取り消され以前のKSKが引き続き使用されます。

 

CDSレコードの利用

本サービスはCDS (child DS)レコードに対応しています。

DNSSEC有効化・無効化・KSKロールオーバーでDSレコードの更新が必要になったタイミングで、自動的にCDSレコードをゾーンに登録します。ドメインレジストリまたはレジストラ(指定事業者)がCDSレコードに対応している場合、登録されたCDSレコードを参照してDSレコードを自動で更新するため、お客様によるDSレコード更新作業は必要ありません。CDSレコードに対応しているかどうかはご利用のレジストラにお問い合わせください。

また、契約されているゾーンのDNSSEC状態が「有効」であり、かつそのゾーンにサブドメインが存在して適切に権威が委譲されている場合、該当サブドメインにCDSレコードが存在するか定期的にチェックします。CDSレコードが存在し、その内容に問題なければご契約ゾーンに自動でDSレコードを登録します。

CDSレコードの詳細につきましてはRFC8078をご覧ください。

【参考】

CDSレコード登録後、DSレコードが登録されるまでに数時間から数日程度かかることがあります。

本サービスではCDNSKEYは参照しません。