勉強前イメージ
DNSSECに関係ある感じ?
調査
DSレコードとは
Delegation Signerの略で、ゾーンの管理者は、親のゾーンに設定される子のゾーンのDNSKEYリソースレコードを参照するためのリソースレコードになります。
「親のゾーンのDSレコードの内容」と「子ゾーンのDNSKEYリソースレコードの情報」 が一致し、
また同様のことが行われることでDNSSECが信頼の連鎖が行われます。
そもそもDNSSECとは
DNSの情報に電子署名を付けることで、
DNSのデータが正しい発行元のデータであることを検証することができるようにする拡張仕様になります。
詳細は こちら をご確認ください。
信頼の連鎖とは?
そもそもDNSSECは信頼の連鎖と呼ばれる仕組みで担保できる仕組みになっています。
あるゾーン(子)の管理者は、親のゾーンの管理者に公開鍵のハッシュ値(DS)を送信し、
親ゾーンの管理者は、子のゾーンから送られてきた公開鍵のハッシュ値(DS)が正しいことを確認してから、親ゾーンの秘密鍵で署名を行い公開します。
その親ゾーンも同様に、さらにその親のゾーンにDSを登録することで 信頼の連鎖 が行われます。
他にもリソースレコードが存在する
DNSSECの仕組みを使用するためのリソースレコードがあります。
- DNSKEY
- DNSSEC検証に使用する公開鍵を格納するためのリソースレコード
- 1つの鍵に1つのDNSKEレコードがある
- RRSIG
- Resource Record digital SIGnature の略で、電子署名が格納されるリソースレコード
- DS
- 今回調査していたリソースレコード
- Delegation Signerの略で親のゾーンに設定される子のゾーンのDNSKEYリソースレコードを参照するためのリソースレコード
- NSEC
- 存在していないゾーンについて問い合わせがあった時、ゾーンを管理する権威ネームサーバが不存在との旨の回答に署名するためのリソースレコード
- NSEC3
- NSECのようにゾーン名を記載せずに、ゾーン名がわからないようにハッシュ値でゾーンを示します
勉強後イメージ
DSレコードだけじゃなくて、他にもDNSSECを使用するためのレコードはいくつか存在するのね
特にNSECはややこしや