無料のDNSSECチェッカー
任意のドメインについて、DNSSECが適切に設定されているかどうかを即座に確認できます。当社の無料DNSSECバリデータは、レジストラのDSレコード、権威ネームサーバーのDNSKEYレコード、RRSIG署名の有効性、およびドメインからDNSルートに至る完全な信頼チェーンを検証します。
任意のドメインについて、DNSSECが適切に設定されているかどうかを即座に確認できます。当社の無料DNSSECバリデータは、レジストラのDSレコード、権威ネームサーバーのDNSKEYレコード、RRSIG署名の有効性、およびドメインからDNSルートに至る完全な信頼チェーンを検証します。
当社のDNSSECチェッカーは、お客様のドメインに対して6つの主要な検証チェックを実行します:
(レジストラの)親ゾーンに「委任署名者」レコードが存在することを確認します。これは、署名済みのゾーンをグローバルな信頼チェーンに結びつける重要なリンクです。
公開鍵レコードが、権威ネームサーバーに公開されていることを確認します。ゾーンには通常、日常的に使用するゾーン署名鍵(ZSK)と、ZSKに署名するための鍵署名鍵(KSK)の2つの鍵があります。
DNSレコードに暗号署名が存在し、有効期限が切れていないことを確認します。有効期限が切れたRRSIGがあると、DNSSECの検証は直ちに失敗します。
レジストラのDSレコードが、ゾーン内のDNSKEYを正しく参照しているかどうかを確認します。不一致(多くの場合、キーのロールオーバーが不完全であることが原因)があると、検証に失敗します。
非推奨または脆弱な署名アルゴリズムを特定します。脆弱なアルゴリズムは、DNSSECのセキュリティ上の利点を損なう可能性があります。
DNSルートからTLDを経て、お客様のドメインに至るまでのチェーン全体が正常であることを確認します。このチェーンのどこかに断絶があると、検証全体が失敗となります。
チェッカーは、以下の4つのステータスのいずれかを返します:
すべてのチェックが、レコード全体にわたって正常に完了しました。
DNSKEYは存在しますが、ご利用のドメインレジストラにはDSレコードがありません。
DSレコードは存在しますが、対応するDNSKEYがありません。
DSレコードもDNSKEYレコードも見つかりませんでした。
DNSSEC(Domain Name System Security Extensions)は、DNS に対する一連の暗号化拡張機能であり、リゾルバーが DNS 応答の真正性を確認し、転送中に改ざんされていないことを検証できるようにするものです。DNSSEC は DNS レコードにデジタル署名を付加し、DNS ルートゾーンから個々のドメインに至るまでの信頼の連鎖を構築します。これにより、ユーザーを悪意のあるサーバーにリダイレクトさせる可能性のある DNS キャッシュポイズニングや DNS スプーフィング攻撃から保護されます。
DNSSECの仕組みについてさらに詳しく知りたい方は、以下の記事をご覧ください:
DNSSECの検証は、階層的な信頼チェーンに沿ってトップダウン方式で行われます:
各レベルは、DSレコードを介してその上位レベルによって署名および認証されます。この連鎖がいずれかのレベルで途切れると、ゾーンの設定が完璧であっても、検証は失敗します。
最もよくあるエラー:DSレコードがレジストラに提出されていません。ゾーンは署名済み(DNSKEYが存在)ですが、親ゾーンにリンクされていません。チェッカーは「Partial」と表示されます。
解決方法:DNSホストのDSレコードをレジストラに提出してください。チェーンが機能するためには、両方のレコードが存在している必要があります。
DNSSECでは4つの主要なDNSレコードタイプが使用されており、当社のツールはこれらすべてを検証します。
DNSSEC署名の検証に使用される公開鍵を格納します。これには、ZSK(レコードの署名用)およびKSK(ZSKの署名用)が含まれます。
親ゾーン内のDNSKEYのハッシュが含まれており、これにより、お客様のドメインがDNSSECの信頼チェーンに紐付けられます。
各DNSレコードセットに対する暗号署名。DNSSECの検証を維持するためには、有効期限が切れる前に更新する必要があります。
DNSレコードが存在しないことを証明します(存在の認証付き否定)。NSEC3はプライバシー保護機能を備えたバリエーションです。これにより、攻撃者がゾーン内のすべての名前を列挙することを防ぎます。
DNSSECを有効にするには、2つの手順が必要です。完全な検証を行うには、両方の手順を完了する必要があります:
DNSホスティングプロバイダーでDNSSEC署名を有効にする
DNSプロバイダーにログインし、ドメインのDNSSEC署名を有効にして、生成されたDSレコードをコピーしてください。これにより、DNSKEYレコードが作成され、DNSゾーンへの署名が自動的に開始されます。
DSレコードをレジストラに提出してください
ドメイン登録業者にログインし、DNSSECの設定画面を開いて、手順1で生成したDSレコードを追加してください。変更を保存して、DNSSECの信頼チェーンを完成させてください。
所要時間:DNSの反映には24~48時間かかります。
よくある落とし穴:多くのユーザーはDNSSEC署名を有効にするものの、DSレコードの公開を忘れてしまい、信頼の連鎖が不完全なままになってしまう。
以下に、DNSSECの設定ミスで最もよくある5つのエラーとその解決方法をご紹介します:
DSレコードの欠落または設定ミス
原因:ゾーンに DNSKEY が存在している(つまり、ゾーンは署名されている)にもかかわらず、DS レコードがレジストラに提出されていないか、または不正確であるため、レジストラレベルで信頼の連鎖が途切れています。
推奨される修正方法:
レジストラまたはネームサーバーでDNSSECが有効になっていない
原因:どこにもDNSSEC署名が有効になっていません。DNSKEYレコードもDSレコードも存在しません。
推奨される修正方法:
有効期限が切れた RRSIG 署名
原因:DNSレコードの署名の有効期限が切れています。これは通常、自動キー更新の失敗、またはDNSホスティングプロバイダのサービス停止が原因で発生します。
推奨される修正方法:
DS-DNSKEY の不一致
原因:レジストラに登録されている DS レコードが、ゾーン内の DNSKEY と一致しなくなりました。これは通常、キーのロールオーバー後に DS レコードが更新されなかった場合に発生します。
推奨される修正方法:
ネームサーバーではDNSSECが有効になっているが、レジストラでは有効になっていない
原因:ゾーンは署名済み(DNSKEYレコードが存在)ですが、レジストラ側にDSレコードが存在しません。これは、DNSSECの設定ミスの中で最も一般的な状態です。
推奨される修正方法:
DNSSECと電子メール認証規格(DMARC、DKIM、SPF)は、互いに補完し合うものの、別々のセキュリティ層を構成しています。
DNSSECはDNSの検索を保護し、SPF、DKIM、DMARCは電子メールを保護します。これにより、電子メールの認証に使用されるDNSレコードが本物であり、改ざんされていないことが保証されます。
DNSSEC がない場合、攻撃者は DNS 応答を偽装し、DKIM キーを偽のものに置き換えることができます。DNSSEC は、メールサーバーが DNS から本物の DKIM キーを取得するようにすることで、これを防ぎます。
DNSSECは、DMARC、DKIM、SPFに取って代わるものではありません。電子メールの認証には、これら3つすべてが依然として必要です。DNSSECは、これら3つの仕組みが依存するDNSインフラのセキュリティを強化するに過ぎません。
PowerDMARCのホスト型DMARCサービスは、リアルタイムの可視性を活用し、監視から「p=reject」の完全な適用に至るまで、安全に導きます。
ホスト型DMARC→
アドバンテージ、オークランド地域マネージャー
「当社の事業は、当社とクライアントの間だけでなく、パートナーとの間にも築かれた信頼に基づいています。PowerDMARCとの素晴らしいパートナーシップのおかげで、クライアントに卓越したサービスを提供することができています。」
dig DS yourdomain.com @8.8.8.8 コマンドラインから、DSレコードを手動で照会します。