無料のDNSSECチェッカー

任意のドメインについて、DNSSECが適切に設定されているかどうかを即座に確認できます。当社の無料DNSSECバリデータは、レジストラのDSレコード、権威ネームサーバーのDNSKEYレコード、RRSIG署名の有効性、およびドメインからDNSルートに至る完全な信頼チェーンを検証します。

有効なドメイン名を入力してください(http:// プレフィックスなし)。

0+

世界中の組織

0+

フォーチュン100企業および政府

0+

対応国

このDNSSECチェッカーは何を検証するのですか?

当社のDNSSECチェッカーは、お客様のドメインに対して6つの主要な検証チェックを実行します:

1

登録機関におけるDS記録

(レジストラの)親ゾーンに「委任署名者」レコードが存在することを確認します。これは、署名済みのゾーンをグローバルな信頼チェーンに結びつける重要なリンクです。

2

ゾーン内のDNSKEYレコード

公開鍵レコードが、権威ネームサーバーに公開されていることを確認します。ゾーンには通常、日常的に使用するゾーン署名鍵(ZSK)と、ZSKに署名するための鍵署名鍵(KSK)の2つの鍵があります。

3

RRSIG署名の有効性

DNSレコードに暗号署名が存在し、有効期限が切れていないことを確認します。有効期限が切れたRRSIGがあると、DNSSECの検証は直ちに失敗します。

4

DS-DNSKEYの一致

レジストラのDSレコードが、ゾーン内のDNSKEYを正しく参照しているかどうかを確認します。不一致(多くの場合、キーのロールオーバーが不完全であることが原因)があると、検証に失敗します。

5

アルゴリズムのセキュリティ

非推奨または脆弱な署名アルゴリズムを特定します。脆弱なアルゴリズムは、DNSSECのセキュリティ上の利点を損なう可能性があります。

6

信頼の連鎖の完全性

DNSルートからTLDを経て、お客様のドメインに至るまでのチェーン全体が正常であることを確認します。このチェーンのどこかに断絶があると、検証全体が失敗となります。

チェッカーは、以下の4つのステータスのいずれかを返します:

有効

すべてのチェックが、レコード全体にわたって正常に完了しました。

部分的

DNSKEYは存在しますが、ご利用のドメインレジストラにはDSレコードがありません。

設定ミス

DSレコードは存在しますが、対応するDNSKEYがありません。

有効になっていません

DSレコードもDNSKEYレコードも見つかりませんでした。

DNSSEC とは何ですか?

DNSSEC(Domain Name System Security Extensions)は、DNS に対する一連の暗号化拡張機能であり、リゾルバーが DNS 応答の真正性を確認し、転送中に改ざんされていないことを検証できるようにするものです。DNSSEC は DNS レコードにデジタル署名を付加し、DNS ルートゾーンから個々のドメインに至るまでの信頼の連鎖を構築します。これにより、ユーザーを悪意のあるサーバーにリダイレクトさせる可能性のある DNS キャッシュポイズニングや DNS スプーフィング攻撃から保護されます。

DNSSECはDNSクエリを暗号化しません。暗号化は、DNS-over-HTTPSまたはDNS-over-TLSによって行われます。また、DNSSECは電子メールのコンテンツを保護したり、DMARC/DKIM/SPFに取って代わったりするものでもありません。むしろ、これらの電子メール認証規格が依存しているDNS解決プロセスを保護するものです。

DNSSECの仕組みについてさらに詳しく知りたい方は、以下の記事をご覧ください:

信頼の連鎖を理解する

DNSSECの検証は、階層的な信頼チェーンに沿ってトップダウン方式で行われます:

DNSルート
TLD(.com、.orgなど)
あなたのドメイン

各レベルは、DSレコードを介してその上位レベルによって署名および認証されます。この連鎖がいずれかのレベルで途切れると、ゾーンの設定が完璧であっても、検証は失敗します。

最もよくあるエラー:DSレコードがレジストラに提出されていません。ゾーンは署名済み(DNSKEYが存在)ですが、親ゾーンにリンクされていません。チェッカーは「Partial」と表示されます

解決方法:DNSホストのDSレコードをレジストラに提出してください。チェーンが機能するためには、両方のレコードが存在している必要があります。

DNSSECレコードの種類について

DNSSECでは4つの主要なDNSレコードタイプが使用されており、当社のツールはこれらすべてを検証します。

DNSKEYレコード

DNSSEC署名の検証に使用される公開鍵を格納します。これには、ZSK(レコードの署名用)およびKSK(ZSKの署名用)が含まれます。

1
DS(委任署名者)レコード

親ゾーン内のDNSKEYのハッシュが含まれており、これにより、お客様のドメインがDNSSECの信頼チェーンに紐付けられます。

2
RRSIG(リソースレコード署名)

各DNSレコードセットに対する暗号署名。DNSSECの検証を維持するためには、有効期限が切れる前に更新する必要があります。

3
NSEC / NSEC3 レコード

DNSレコードが存在しないことを証明します(存在の認証付き否定)。NSEC3はプライバシー保護機能を備えたバリエーションです。これにより、攻撃者がゾーン内のすべての名前を列挙することを防ぎます。

4

ドメインでDNSSECを有効にする方法

DNSSECを有効にするには、2つの手順が必要です。完全な検証を行うには、両方の手順を完了する必要があります:

ステップ1

DNSホスティングプロバイダーでDNSSEC署名を有効にする

DNSプロバイダーにログインし、ドメインのDNSSEC署名を有効にして、生成されたDSレコードをコピーしてください。これにより、DNSKEYレコードが作成され、DNSゾーンへの署名が自動的に開始されます。

ステップ2

DSレコードをレジストラに提出してください

ドメイン登録業者にログインし、DNSSECの設定画面を開いて、手順1で生成したDSレコードを追加してください。変更を保存して、DNSSECの信頼チェーンを完成させてください。

所要時間:DNSの反映には24~48時間かかります。

よくある落とし穴:多くのユーザーはDNSSEC署名を有効にするものの、DSレコードの公開を忘れてしまい、信頼の連鎖が不完全なままになってしまう。

DNSSECでよくあるエラーとその対処法

以下に、DNSSECの設定ミスで最もよくある5つのエラーとその解決方法をご紹介します:

ステータス:一部のみ、または設定ミス

DSレコードの欠落または設定ミス

原因:ゾーンに DNSKEY が存在している(つまり、ゾーンは署名されている)にもかかわらず、DS レコードがレジストラに提出されていないか、または不正確であるため、レジストラレベルで信頼の連鎖が途切れています。

推奨される修正方法:

  • ドメイン登録業者(GoDaddy、Namecheapなど)にログインしてください。
  • ドメインのDNS設定画面に移動してください
  • 「DNSSEC」または「DSレコード」のセクションを探してください
  • DNSホスティングプロバイダのコントロールパネルからDSレコードを取得してください
  • DSレコードの値を、レジストラの「DSレコード」欄に貼り付けてください
  • 保存し、DNSの反映が完了するまで24~48時間待ちます
  • チェッカーを再実行して、「有効」の状態であることを確認してください
ステータス:無効

レジストラまたはネームサーバーでDNSSECが有効になっていない

原因:どこにもDNSSEC署名が有効になっていません。DNSKEYレコードもDSレコードも存在しません。

推奨される修正方法:

  • DNSホスティングのコントロールパネル(Cloudflare、Route 53など)にログインしてください。
  • 「DNSSEC」または「DNSセキュリティ」のセクションを探してください
  • ドメインの DNSSEC 署名を有効にする
  • 提供されたDSレコードまたはDNSKEYデータをコピーしてください
  • レジストラにログインし、DSレコードを追加してください(上記の手順を参照)。
  • 24~48時間待ってから、チェッカーを再度実行してください
ステータス:設定ミス

有効期限が切れた RRSIG 署名

原因:DNSレコードの署名の有効期限が切れています。これは通常、自動キー更新の失敗、またはDNSホスティングプロバイダのサービス停止が原因で発生します。

推奨される修正方法:

  • DNSホスティングのコントロールパネルにログインしてください
  • DNSSEC のセクションを見つけ、「ゾーンの再署名」または「署名の更新」を実行してください。
  • そのような設定がない場合は、DNSSEC署名を無効にしてから再度有効にしてください
  • 署名が再生成されるまで、数分お待ちください
  • チェッカーを再実行する
ステータス:設定ミス

DS-DNSKEY の不一致

原因:レジストラに登録されている DS レコードが、ゾーン内の DNSKEY と一致しなくなりました。これは通常、キーのロールオーバー後に DS レコードが更新されなかった場合に発生します。

推奨される修正方法:

  • DNSホスティングのコントロールパネルにログインし、現在のDSレコードを確認してください(ロールオーバーの過程で変更されている可能性があります)。
  • 登録機関にログインしてください
  • DNSプロバイダーから提供された新しい値で、DSレコードを更新してください
  • 24~48時間待ってから、チェッカーを再度実行してください
ステータス:一部完了

ネームサーバーではDNSSECが有効になっているが、レジストラでは有効になっていない

原因:ゾーンは署名済み(DNSKEYレコードが存在)ですが、レジストラ側にDSレコードが存在しません。これは、DNSSECの設定ミスの中で最も一般的な状態です。

推奨される修正方法:

  • ドメイン登録業者(GoDaddy、Namecheapなど)にログインしてください。
  • ドメインのDNS設定画面に移動してください
  • 「DNSSEC」または「DSレコード」のセクションを探してください
  • DNSホスティングプロバイダのコントロールパネルからDSレコードを取得してください
  • 学務課に提出してください

DNSSECと電子メールのセキュリティ

DNSSECと電子メール認証規格(DMARC、DKIM、SPF)は、互いに補完し合うものの、別々のセキュリティ層を構成しています。

それらのつながり方

DNSSECはDNSの検索を保護し、SPF、DKIM、DMARCは電子メールを保護します。これにより、電子メールの認証に使用されるDNSレコードが本物であり、改ざんされていないことが保証されます。

DNSSECが重要な理由

DNSSEC がない場合、攻撃者は DNS 応答を偽装し、DKIM キーを偽のものに置き換えることができます。DNSSEC は、メールサーバーが DNS から本物の DKIM キーを取得するようにすることで、これを防ぎます。

DNSSECが果たさない役割

DNSSECは、DMARC、DKIM、SPFに取って代わるものではありません。電子メールの認証には、これら3つすべてが依然として必要です。DNSSECは、これら3つの仕組みが依存するDNSインフラのセキュリティを強化するに過ぎません。

ドメインでメール認証が有効になっているか確認する

DMARCレコードを確認しましたか?

当社の無料検索ツールを使えば、DMARCレコードが有効で、有効期限が切れておらず、構文エラーがないかどうかを即座に確認できます。

DMARCチェッカー

p=none の場合? 執行に移行する。

PowerDMARCのホスト型DMARCサービスは、リアルタイムの可視性を活用し、監視から「p=reject」の完全な適用に至るまで、安全に導きます。

ホスト型DMARC

継続的なモニタリングをご希望ですか?

PowerDMARCは集計レポートを自動的に解析し、新しい送信者が現れたり、認証に関する問題が発生したりした際に通知します。

無料でお試し

クライアント&パートナーの声

スティーブ・スミス
スティーブ・スミス

アドバンテージ、オークランド地域マネージャー

「当社の事業は、当社とクライアントの間だけでなく、パートナーとの間にも築かれた信頼に基づいています。PowerDMARCとの素晴らしいパートナーシップのおかげで、クライアントに卓越したサービスを提供することができています。」

よくあるご質問

DNSSECとは何ですか?また、どのように機能するのでしょうか?
DNSSECは、DNSレコードに暗号署名を追加し、DNSルートから個々のドメインに至るまでの信頼の連鎖を確立します。リゾルバーがDNSSECで署名されたドメインにクエリを送信すると、階層の各レベルで署名を検証し、応答が真正であり、改ざんされていないことを確認します。詳細な仕組みについては、当社のDNSSEC完全ガイドをご覧ください。
DNSSECが正常に動作しているかどうかを確認するにはどうすればよいですか?
上のチェッカーにドメインを入力し、「チェック」をクリックしてください。このツールは、レジストラのDSレコード、ネームサーバーのDNSKEYレコード、および信頼チェーン全体を検証し、「有効」、「一部有効」、「設定ミス」、「無効」のいずれかのステータスを返します。また、以下の操作も実行できます。 dig DS yourdomain.com @8.8.8.8 コマンドラインから、DSレコードを手動で照会します。
DNSSECは今でも重要なのでしょうか?
はい。DNSキャッシュポイズニングは依然として活発な攻撃手法であり、DNSSECはこれに対する唯一のプロトコルレベルの防御手段です。また、DNSSECは、認証局に依存しない証明書検証を提供するDANE(DNS-based Authentication of Named Entities)の前提条件でもあります。現在、多くの政府、規制当局、およびコンプライアンスの枠組みにおいて、重要なドメインに対してDNSSECの導入が義務付けられています。
DNSSECによって何が検証されるのですか?
DNSSECは、DNS応答の真正性と完全性を検証し、ドメインに対して返されたIPアドレス、MXレコード、およびその他のDNSデータが、権威サーバーから送信されたものであり、転送中に改ざんされていないことを確認します。ただし、ウェブサイトのコンテンツや電子メールメッセージの検証は行わず、DNSクエリの暗号化も行いません。

ブランドの乱用や詐欺を防ぎ、メールチャネルを完全に把握する準備はできていますか?