ドメインDNSSECの の設定 - Amazon Route 53

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ドメインDNSSECの の設定

攻撃者は、DNSクエリを傍受し、エンドポイントの実際の IP アドレスの代わりにリDNSゾルバーに独自の IP アドレスを返すことで、ウェブサーバーなどのインターネットエンドポイントへのトラフィックをハイジャックすることがあります。その後、ユーザーはなりすましたレスポインスによって攻撃者が指定した IP アドレス (偽のウェブサイトなど) にルーティングされます。

DNS トラフィックを保護するためのプロトコルである Domain Name System Security Extensions (DNSSEC) を設定することで、スプーフィングまたは man-in-the-middle DNS 攻撃と呼ばれるこの種の攻撃からドメインを保護できます。

重要

Amazon Route 53 では、ドメイン登録DNSSECの署名と DNSSEC がサポートされています。Route 53 に登録されているドメインDNSSECの署名を設定する場合は、「」を参照してくださいAmazon Route 53 でDNSSECの署名の設定

がドメインDNSSECを保護する方法の概要

ドメインDNSSEC用に を設定すると、DNSリゾルバーは中間リゾルバーからのレスポンスの信頼チェーンを確立します。信頼チェーンは、ドメイン (ドメインの親ゾーン) のTLDレジストリから始まり、DNSサービスプロバイダーの権威のあるネームサーバーで終了します。すべてのDNSリゾルバーが をサポートしているわけではありませんDNSSEC。サポートするリゾルバーのみが、署名または真正性の検証DNSSECを実行します。

Amazon Route 53 に登録されているドメインDNSSECに対して を設定する方法を説明します。これにより、インターネットホストをDNSなりすましから保護し、わかりやすくするために簡素化します。

  1. DNS サービスプロバイダーが提供する方法を使用して、非対称キーペアのプライベートキーを使用してホストゾーン内のレコードに署名します。

    重要

    Route 53 は、ドメイン登録DNSSECの署名と DNSSEC をサポートしています。詳細については、「Amazon Route 53 でDNSSECの署名の設定」を参照してください。

  2. パブリックキーをキーペアからドメインレジストラに提供し、キーペアの生成に使用されたアルゴリズムを指定します。ドメインレジストラは、パブリックキーとアルゴリズムを最上位ドメイン () のレジストリに転送しますTLD。

    Route 53 に登録したドメインに対してこのステップを実行する方法については、「ドメインへのパブリックキーの追加」を参照してください。

を設定した後DNSSEC、ドメインをDNSなりすましから保護する方法は次のとおりです。

  1. ウェブサイトを参照したり、E メールメッセージを送信したりして、DNSクエリを送信します。

  2. リクエストはDNSリゾルバーにルーティングされます。リゾルバーは、リクエストに基づいてクライアントに適切な値 (ウェブサーバーやメールサーバーを実行しているホストの IP アドレスなど) を返す役割を果たします。

  3. 他のユーザーが既に同じDNSクエリを送信しており、リDNSゾルバーが値を取得しているため、IP アドレスがリゾルバーにキャッシュされている場合、リゾルバーはリクエストを送信したクライアントに IP アドレスを返します。その後、クライアントはその IP アドレスを使用してホストにアクセスします。

    IP アドレスがDNSリゾルバーにキャッシュされていない場合、リゾルバーはTLDレジストリのドメインの親ゾーンにリクエストを送信し、2 つの値を返します。

    • Delegation Signer (DS) レコード。レコードの署名に使用されたプライベートキーに対応するパブリックキーです。

    • ドメインの権威ネームサーバーの IP アドレス。

  4. DNS リゾルバーは元のリクエストを別のDNSリゾルバーに送信します。リゾルバーに IP アドレスがない場合、リゾルバーがDNSサービスプロバイダーのネームサーバーにリクエストを送信するまで、このプロセスを繰り返します。ネームサーバーにより 2 つの値が返されます。

    • ドメインのレコード (example.com など)。通常、これにはホストの IP アドレスが含まれています。

    • を設定したときに作成したレコードの署名DNSSEC。

  5. DNS リゾルバーは、ドメインレジストラに提供したパブリックキーとTLDレジストリに転送されたレジストラを使用して、次の 2 つの操作を行います。

    • 信頼チェーンを確立します。

    • DNS サービスプロバイダーからの署名付きレスポンスが正当であり、攻撃者からの不正なレスポンスに置き換えられていないことを確認します。

  6. レスポンスが本物の場合、リゾルバーはリクエストを送信したクライアントに値を返します。

    応答を確認できない場合、リソルバーはユーザーにエラーを返します。

    ドメインのTLDレジストリにドメインのパブリックキーがない場合、リゾルバーはDNSサービスプロバイダーから取得したレスポンスを使用してDNSクエリに応答します。

ドメインDNSSECの を設定するための前提条件と最大値

ドメインDNSSEC用に を設定するには、ドメインとDNSサービスプロバイダーが以下の前提条件を満たす必要があります。

  • のレジストリは をサポートTLDしている必要がありますDNSSEC。のレジストリが TLDをサポートしているかどうかを確認するにはDNSSEC、「」を参照してくださいAmazon Route 53 に登録できる最上位ドメイン

  • ドメインのDNSサービスプロバイダーは をサポートしている必要がありますDNSSEC。

    重要

    Route 53 は、ドメイン登録DNSSECの署名と DNSSEC をサポートしています。詳細については、「Amazon Route 53 でDNSSECの署名の設定」を参照してください。

  • Route 53 にドメインのパブリックキーを追加する前に、ドメインのDNSサービスプロバイダーDNSSECで を設定する必要があります。

  • ドメインに追加できるパブリックキーの数は、ドメインTLDの によって異なります。

    • .com および .net ドメイン: 最大 13 個のキー

    • 他のすべてのドメイン: 最大 4 個のキー

ドメインへのパブリックキーの追加

キーをローテーションする場合、またはドメインDNSSECに対して を有効にする場合は、ドメインのDNSサービスプロバイダーDNSSECで を設定した後に次の手順を実行します。

ドメインにパブリックキーを追加するには
  1. DNS サービスプロバイダーDNSSECでまだ設定していない場合は、サービスプロバイダーが提供する方法を使用して を設定しますDNSSEC。

  2. にサインイン AWS Management Console し、 で Route 53 コンソールを開きますhttps://console.aws.amazon.com/route53/

  3. ナビゲーションペインで [Registered Domains] をクリックします。

  4. キーを追加するドメインの名前を選択します。

  5. DNSSEC キータブで、キーの追加 を選択します。

  6. 次の値を指定します。

    キーのタイプ

    キー署名キー (KSK) またはゾーン署名キー () をアップロードするかどうかを選択しますZSK。

    アルゴリズム

    ホストゾーンのレコードの署名に使用したアルゴリズムを選択します。

    パブリックキー

    DNS サービスプロバイダーDNSSECで設定するために使用した非対称キーペアからパブリックキーを指定します。

    次の点に注意してください。

    • ダイジェストではなく、公開キーを指定します。

    • キーは base64 形式で指定する必要があります。

  7. [追加] を選択します。

    注記

    一度に追加できるパブリックキーは 1 つだけです。さらにキーを追加する必要がある場合は、Route 53 から確認メールを受け取るまで待ちます;。

  8. Route 53 がレジストリからレスポンスを受け取ると、ドメインの登録者にメールが送信されます。メールは、パブリックキーがレジストリのドメインに追加されたことを確認するか、キーを追加できなかった理由を説明するものです。

ドメインのパブリックキーの削除

キーをローテーションする場合、またはドメインDNSSECを無効にする場合は、DNSサービスプロバイダーDNSSECで を無効にする前に、次の手順を使用してパブリックキーを削除します。次の点に注意してください。

  • パブリックキーをローテーションする場合、新しいパブリックキーを追加してから古いパブリックキーを削除するまで最大 3 日待つことをお勧めします。

  • を無効にする場合はDNSSEC、まずドメインのパブリックキーを削除します。ドメインの DNSサービスDNSSECで を無効にするまで、最大 3 日間待つことをお勧めします。

重要

DNSSEC がドメインに対して有効で、 DNS サービスDNSSECで無効にすると、 をサポートするDNSリゾルバーDNSSECはクライアントにSERVFAILエラーを返し、クライアントはドメインに関連付けられているエンドポイントにアクセスできなくなります。

ドメインのパブリックキーを削除するには
  1. にサインイン AWS Management Console し、 で Route 53 コンソールを開きますhttps://console.aws.amazon.com/route53/

  2. ナビゲーションペインで [Registered Domains] をクリックします。

  3. キーを削除するドメインの名前を選択します。

  4. DNSSEC キータブで、削除するキーの横にあるラジオボタンを選択し、キーの削除 を選択します。

  5. DNSSEC 「キーの削除」ダイアログボックスで、テキストボックス「削除」と入力して、キーを削除することを確認し、「削除」を選択します。

    注記

    一度に削除できるパブリックキーは 1 つだけです。さらにキーを削除する必要がある場合は、Amazon Route 53 から確認メールを受け取るまで待ちます。

  6. Route 53 がレジストリからレスポンスを受け取ると、ドメインの登録者にメールが送信されます。メールは、パブリックキーがレジストリのドメインから削除されたことを確認するか、キーを削除できなかった理由を説明するものです。