以下のこのガイドは、中間者攻撃、キャッシュポイズン攻撃、およびその他の種類のDNS偽造を回避するために、cPanelおよびドメインレジストラでDNSSECを有効にする方法を示しています。
インターネットが現在私たちの生活のあらゆる側面をどのように定義しているかを考えると、ドメインネームシステムを忘れがちです。 中心コアを形成する(DNS)は、ダクトとテープでまとめられています。
1980年代にDNSが設計されたとき、インターネットははるかに小さく、ネットワーク内のDNSは相互に信頼し合っていたため、セキュリティは決して考慮されていませんでした。
世界は変わりました。
テクノロジーの進歩により、インターネットは私たちの日常生活の一部になりました。
これにより、DNSスプーフィング/キャッシュポイズニング、DNSトンネリング、DNSハイジャック、NXDOMAIN攻撃、ファントムドメイン攻撃、ボットネットベースのCPE攻撃などのDNSエクスプロイトの機会が生まれました。
再帰リゾルバーが権限のあるネームサーバーにクエリを送信する状況を考えてみましょう。
現在のように、リゾルバーには応答の信頼性を検証する方法がありません。
リゾルバーが元のクエリを送信したのと同じIPアドレスからの応答が表示されていることを確認することしかできませんが、クエリの1つに対する偽造された応答が存在する場合は簡単に検出できません。
攻撃者は、権威あるサーバーになりすまして、DNSルックアップを乗っ取り、マルウェアを配布したり、ユーザーが気付かないうちに個人情報を収集したりする不正なWebサイトにユーザーを誘導する可能性があります。
インターネット技術特別調査委員会(IETF)のエンジニア(DNSプロトコル標準を担当する組織 )この弱点を知っており、解決策を探しています。
この取り組みの結果、今日DNSSECセキュリティ拡張機能( DNSSEC )として知られているものが生まれました。 。
DNSSEC(下位互換性があるように設計されている)は、DNSのすべてのレイヤーに階層的なデジタル署名ポリシーを実装することにより、DNSプロトコルにセキュリティを追加する一連の拡張機能です。
そのコア機能の中には、正しく実装された場合に、DNSスプーフィング攻撃に対する効果的な保護として機能することがあります。
DNS要求検証のデータ発信元認証により、リゾルバーは、受信したデータが実際にデータの発信元であると信じるゾーンからのものであることを暗号で検証できます。
また、データ整合性保護により、データがゾーンの所有者によってゾーンの秘密鍵で最初に署名されて以来、データが転送中に変更されていないことをリゾルバーが知ることができます。
お客様が常にcPanelが提供する最高の最新機能にアクセスできるという私たちの約束に沿って 、すべてのcPanel本番サーバーでドメインに対してDNSSECを有効にできるようになりました。
これを行う方法の詳細なガイドをhttps://dashboard.webhostingmagic.com/knowledgebase/23/DNSSEC
で作成しました。これを有効にすると、DNSSECはDNSの上に認証のレイヤーを追加するため、上記のすべての問題を回避する方法が提供されます。
現時点では、DNSSECは自動ではありません。
cPanelでキーを作成したら、ゾーンの権限のあるサーバーでドメイン名の所有者がキーを明確に有効にする必要があります。
プロセスはすべてのレジストラとは異なりますが、ゾーンに他の変更を加えることができるのと同じです(ゾーンの権限のあるネームサーバーなど)。 )、ゾーンの公開鍵資料を更新して、DNSSECの実装を完了することもできます。
このページには、システムの外部でDNSをホストしているお客様の一部が使用している最も一般的なドメインレジストラの一部を示しています。
自分のものがリストにない場合は、ドメインレジストラサポートチームに連絡してください。
大きな警告:この警告を無視しないでください
本当に自問する必要がある最初の質問は、DNSSECを有効にする必要がありますです。 ?
この質問に答える必要がある理由は、DNSSECを有効にすると、ドメインとDNSレコードを関連付けたり管理したりする方法が根本的に変わるためです。
たとえば、ドメインでDNSSECを有効にすると、ネームサーバーを意地悪に変更することはできません。
ネームサーバーを変更する前に、DNSSECを無効にし、72時間以上待ってから変更を加える必要があります。
そうしないと、ドメインが解決されない可能性があります。
もう1つの例は、ドメイン名を別の登録事業者またはウェブホスティングサービスプロバイダーに移管する必要がある場合です。
最初にドメインサーバー(DS)レコードを削除し、変更が反映されるのを待ってから転送を初期化する必要があります。
レジストラから古いDSレコードを削除しないと、無効なDNSSEC応答が原因で、ドメインによってDNS解決の問題が発生する可能性があります。
これで邪魔になりません。以下は、ドメイン登録事業者でDNSSECの有効化を完了するために必要なリンクです。
| レジストラ | 手順 |
| 123登録 | レジストラのカスタマーサポートに連絡し、Web HostingMagiccPanelで生成したDSレコードデータを提供してください。 |
| DNSimple | DNSimpleでのWebHostingMagiccPanelDNSSECの使用 |
| domaindiscount24 | DNSSEC |
| ドットスター | レジストラのカスタマーサポートに連絡し、Web HostingMagiccPanelで生成したDSレコードデータを提供してください。 |
| DreamHost | DNSSECの概要 DreamHostで、 2を使用します SHA256の代わりにダイジェストタイプとして 。 |
| ダイナドット | DNSSECを設定するにはどうすればよいですか? |
| エノム | この記事の執筆時点では、Enonのデフォルトのネームサーバーは、適切なDNSSECチェーンを作成するための適切なリソースレコードの作成をサポートしていません。 ドメイン名へのDNSSECの追加 で詳細をご覧ください |
| ガンディ | DNSSEC ガンディでは、[アルゴリズム]ドロップダウンで[アルゴリズム13]を選択していることを確認してください。 |
| GoDaddy | GoDaddyでDSレコードを構成するには、次の手順を実行します。
DSレコードを追加する |
| ゴッドゾーン | レジストラのカスタマーサポートに連絡し、Web HostingMagiccPanelで生成したDSレコードデータを提供してください。 godzone Webコントロールパネルで、ドメインの下にDSレコードを追加できる場合があります タブ。 |
| Googleドメイン | Googleドメインのネームサーバーを使用している場合は、ワンクリックでDNSSECをオンにできます。次の手順に従ってください:
DNSSECをオンにすると、DNSSECが完全にアクティブ化されるまでに約2時間かかります。オフにすると、非アクティブ化するまでに最大2日間の遅延が発生します。 カスタムネームサーバーを使用している場合は、ドメインのDNSSECを構成するためにサードパーティのDNSプロバイダーが必要になる場合があります。さらに、GoogleドメインでDNSSECをアクティブ化する必要があります。以下の手順に従ってください:
GoogleCloudDNSとDNSSECDNSゾーンの作成中にDNSSECが有効になっていた場合は、[DNSSECをオンにする]を選択して[保存]をクリックします。 Google Cloud DNSは、公開鍵(DNSKEY)、署名(RRSIG)、および存在しない(NSEC、またはNSEC3とNSEC3PARAM)のDNSSECレコードを作成して、ゾーンのコンテンツを認証し、それらを自動的に管理します。 このアクションが実行されたら、レジストラの部分に対処します。 ゾーン名をクリックし、右上のレジストラ設定をクリックして、ドメインで更新するDNSSECリソースレコードを表示します。 レジストラでドメイン名を保護するために必要なこれらの値を取得します。
|
| ホバー | DNSSECの理解と管理 |
| internet.bs | レジストラのカスタマーサポートに連絡し、Web HostingMagiccPanelで生成したDSレコードデータを提供してください。 DSレコードを追加できる場合があります:
|
| Joeker.com | DNSSECサポート Joker.comでは、 2を使用します SHA256の代わりにダイジェストタイプとして 。 |
| MarkMonitor | MarkMonitorは検証アルゴリズム13をサポートし、Extensive Provisioning Protocol(EPP)を自動的に実装して、次のTLDのDSレコードをレジストリに渡します。 .com、.biz、.net、.org、.us、.eu、.fr、.de、.co、.lu、.ch、.be、.li、.co.uk、.wf、.tf、 .pm、.yt、.se、.af、.cx、.gs、.hn、.ki、.nf、.sb、.tl、.re DSレコードを追加するには、DNSSECの詳細にDSデータを入力します MarkMonitor管理ポータルのパネル。 |
| モニカ | レジストラのカスタマーサポートに連絡し、Web HostingMagiccPanelで生成したDSレコードデータを提供してください。 DSレコードを追加できる場合があります:
|
| name.com | DNSSECの管理 |
| namecheap | NameCheapを使用してDSレコードを構成するには、次の手順を実行します。
カスタムDNSを指すドメインのDNSSECの管理 |
| OpenSRS | OpenSRSを使用してDSレコードを構成するには、次の手順を実行します。
|
| nameISP | ドメインでDNSSECを有効にするにはどうすればよいですか? nameISPでDNSSECを有効にすると、Web HostingMagiccPanelアカウントからDSレコードデータをコピーして貼り付ける必要はありません。 |
| namesilo | DSレコード(DNSSEC) |
| OVH | OVHは、APIを介してアルゴリズム13でDNSSECをサポートしています。ドキュメントを参照してください。 OVHは、DNSマネージャーを介したDSレコードの追加もサポートしています。 |
| パブリックドメインレジストリ | レジストラのカスタマーサポートに連絡し、Web HostingMagiccPanelで生成したDSレコードデータを提供してください。 このレジストラのTLDは限られている可能性があります。 委任署名者(DS)レコードの追加を参照してください。 |
| register.com | レジストラのカスタマーサポートに連絡し、Web HostingMagiccPanelで生成したDSレコードデータを提供してください。 |
| registerro.br | DNS e DNSSECチュートリアル(ポルトガル語) |
| Tsohost | レジストラのカスタマーサポートに連絡し、Web HostingMagiccPanelで生成したDSレコードデータを提供してください。 |
DNSSECがドメインに正常に適用されたら、ドメインのWHOIS情報を確認して確認できます。
DNSSECを使用するドメインは、DNSSECフィールドに「signedDelegation」と表示されます。
http://dnsviz.net/やhttps://dnssec-analyzer.verisignlabs.com/などのオンラインツールを使用して、DNSSECを検証することもできます。