ネットワークセキュリティ
DNSSEC
別称: DNS セキュリティ拡張
定義
DNS のゾーンデータを暗号署名する拡張仕様で、リゾルバが応答の真正性と完全性を検証できるようにする。
DNSSEC(Domain Name System Security Extensions)は、DNS レコードに公開鍵署名を付与する拡張です。検証リゾルバは応答が本当に権威ゾーンから返され、伝送中に改ざんされていないことを確認できます。各ゾーンは DNSKEY を公開し、リソースレコードを RRSIG で署名します。親ゾーンに置かれた DS レコードは、署名済みルートに至る信頼の連鎖を形成します。DNSSEC はキャッシュポイズニング、経路上の改ざん、不正リゾルバによる偽応答を防ぎます。クエリ自体は暗号化されないため、機密性が必要な場合は DoH や DoT を併用します。DANE など上位プロトコルの基盤としても重要です。
例
- 検証リゾルバは、bank.example への偽造応答の RRSIG が公開された DNSKEY で検証できないため拒否する。
- レジストリが ZSK をロールオーバーし、信頼の連鎖を維持するため親ゾーンに新しい DS レコードを公開する。
関連用語
DNS スプーフィング
偽造した DNS 応答を注入し、正規ドメインへの問い合わせを攻撃者管理の IP アドレスへ誘導する攻撃。
DNS キャッシュポイズニング
DNS リゾルバのキャッシュに偽造レコードを挿入し、TTL が切れるまで以降の問い合わせが攻撃者指定のアドレスを返すようにする攻撃。
DNS over HTTPS(DoH)
DNS のクエリと応答を暗号化された HTTPS 接続で運ぶプロトコルで、ローカルネットワーク上での盗聴や改ざんから保護する。
DNS over TLS (DoT)
DNS over TLS (DoT) — definition coming soon.
公開鍵基盤(PKI)
ポリシー・ソフトウェア・ハードウェア・信頼された機関の総体で、身元と公開鍵を結びつけるデジタル証明書を発行・配布・検証・失効させる。
デジタル署名
メッセージや文書の真正性・完全性・否認防止を証明する公開鍵暗号方式のメカニズム。