メインコンテンツへジャンプする

JPNICはインターネットの円滑な運営を支えるための組織です
文字サイズ:
プリント用ページ

逆引きDNSでのDNSSEC登録について

JPNICの管理するIPアドレスの逆引きゾーンにおけるDNSSEC

あるゾーンのレコードをDNSSECで検証するためには、 ルートからそのゾーンまでの委任がすべて信頼の連鎖でつながっている必要があります。 逆引きゾーンにおいてはIANA、RIR、NIRそれぞれの管理するゾーンでDNSSECが利用可能であるということになります。

JPNICの管理するIPアドレスの逆引きゾーンにおいては、これまでDNSSECに対応しておらず、 エンドユーザーがDNSSECを利用したいとしても不可能な状況でした。 この状況を是正するため、2015年11月9日より、 JPNICの管理する逆引きゾーンにおいてDNSSECを利用できるよう、登録システムの提供を開始しました。

DNSSECは複雑な技術であるため、運用にあたってはさまざまな知識の習得、人員の確保、 機材の調達などが必要となること、 また、正しくDNSSECを運用し続けるには従来のDNSの運用フローに加え、 セキュリティ上の厳密さが求められることをご理解ください。

JPNICは、DNSSECの普及のために、そうしたさまざまな課題の解決に向けた検討を継続し、 逐次情報共有をしてまいります。

DNSSECの概要

DNSSECは、公開鍵暗号技術を用いて応答に電子署名を付加し、 DNSクライアント(リゾルバ)が権威DNSサーバから正しく送られてきたデータかどうかを検証できるようにするものです。

DNSSECでは、これまでのDNSに対して以下のレコードが追加されています。

RRSIG (Resource Record Signature)

リソースレコードの電子署名。キャッシュサーバはこのRRSIGに記述されている署名を使用し、 問い合わせた本来の権威ネームサーバからの応答かどうか、パケット内容が改ざんされていないかどうか、 正当性を検証します。

DNSKEY (DNS key)

ゾーンに含まれるレコードに対して署名を行う暗号鍵。この鍵を用いてRRSIGの署名の正しさを検証します。

DS (Delegation Signer)

子にあたるゾーンが電子署名が行われているかどうかを表明すると同時に、 その署名に使われている鍵のハッシュ値を表すレコード。

NSEC (Next Secure)

存在していないレコードについて問い合わせがあった場合に、不存在と回答する際に用いられるレコード。 辞書順に並べた存在する二つのレコードを示すことで、その間のレコードが存在しないことを表明します。

DNSSECの詳細については以下のページをご参照ください。

インターネット10分講座:DNSSEC
https://www.nic.ad.jp/ja/newsletter/No43/0800.html

逆引きDNSSECのスタートアップガイド

Ubuntu16.04を例にとり、 BIND9を用いて逆引きDNSSECを始める方法をご紹介します。 逆引きDNSSECのスタートアップガイドをご覧ください。

JPNICの管理するIPアドレスの逆引きゾーンへのDNSSEC登録方法

IPアドレスに関する申請処理システムの、逆引きネームサーバ追加・削除ページからDSレコードを登録してください。

DSレコードの例

2.0.192.in-addr.arpa. 86400 DS 12901 8 1 7CE568EC2628958F71A4A381D488C8D9A7544DF6
2.0.192.in-addr.arpa. 86400 DS 12901 8 2 CF0DB37989EA2F6E97C6DDE6828F4C452DC882AF096DFCFFFF3B8C8B4C96C976

DNSSEC運用に用いるパラメータ等について

JPNICが管理する逆引きゾーンでの署名に用いるパラメータは以下の通りです。

鍵長

KSK 2048ビット
ZSK 1280ビット

鍵の更新間隔

KSK 1年
ZSK 3ヶ月

署名のフォーマット

RSA/SHA256

署名の有効期限

30日

レコードの不存在表明

NSEC

APNICの管理する逆引きゾーンでの署名に用いるパラメータについては以下の通りです。

鍵長

KSK 2048ビット
ZSK 1024ビット

鍵の更新間隔

KSK 1年
ZSK 1ヶ月

署名の有効期限

30日

レコードの不存在表明

NSEC

参考

インターネット10分講座:DNSSEC
https://www.nic.ad.jp/ja/newsletter/No43/0800.html

インターネット10分講座:DNSキャッシュポイズニング
https://www.nic.ad.jp/ja/newsletter/No40/0800.html

IPアドレス管理業務に関するJPNIC文書公開のお知らせ ~逆引きDNSへのDNSSEC導入および更新間隔短縮~
https://www.nic.ad.jp/ja/topics/2015/20151009-02.html

RFC 4033 DNS Security Introduction and Requirements
http://www.ietf.org/rfc/rfc4033.txt

RFC 4034 Resource Records for the DNS Security Extensions
http://www.ietf.org/rfc/rfc4034.txt

RFC 4035 Protocol Modifications for the DNS Security Extensions
http://www.ietf.org/rfc/rfc4035.txt

このページを評価してください

このWebページは役に立ちましたか?
ページの改良点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、お問い合わせ先をご利用ください。