「DNSSEC」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(→‎基本的な DNSSEC 検証: リンクを修正)
 
(2人の利用者による、間の9版が非表示)
1行目: 1行目:
 
[[Category:暗号化]]
 
[[Category:暗号化]]
[[Category:Domain Name System]]
+
[[Category:ドメインネームシステム]]
 
[[en:DNSSEC]]
 
[[en:DNSSEC]]
  +
[[es:DNSSEC]]
  +
[[pt:DNSSEC]]
 
{{Related articles start}}
 
{{Related articles start}}
 
{{Related|Unbound#DNSSEC 検証}}
 
{{Related|Unbound#DNSSEC 検証}}
11行目: 13行目:
 
== 基本的な DNSSEC 検証 ==
 
== 基本的な DNSSEC 検証 ==
   
{{Note|DNS ルックアップで DNSSEC をデフォルトで使用するには設定が必要です。[[#DNSSEC 検証リゾルバーのインストール]]や[[#特定のソフトウェアで DNSSEC を有効化]]を見てください。}}
+
{{Note|DNS ルックアップで DNSSEC をデフォルトで使用するには設定が必要です。[[#DNSSEC 検証リゾルバーのインストール]] [[#特定のソフトウェアで DNSSEC を有効化]] を見てください。}}
   
 
=== インストール ===
 
=== インストール ===
   
 
''drill'' ツールを使って基本的な DNSSEC 検証が行なえます。''drill'' を使うには {{pkg|ldns}} パッケージを[[インストール]]してください。
 
''drill'' ツールを使って基本的な DNSSEC 検証が行なえます。''drill'' を使うには {{pkg|ldns}} パッケージを[[インストール]]してください。
  +
  +
その他の利用可能なツールについては [[ドメイン名前解決#Lookup ユーティリティ]] を参照してください。
   
 
=== DNSSEC 検証の問い合わせ ===
 
=== DNSSEC 検証の問い合わせ ===
26行目: 30行目:
   
 
以下のドメインを使うことでテストが可能です。ルートサーバーから解決されるドメインまでトレースする {{ic|-T}} フラグを追加してください:
 
以下のドメインを使うことでテストが可能です。ルートサーバーから解決されるドメインまでトレースする {{ic|-T}} フラグを追加してください:
 
$ drill -DT sigfail.verteiltesysteme.net
 
   
 
以下のような結果が表示され、DNSSEC 署名が偽物と分かります:
 
以下のような結果が表示され、DNSSEC 署名が偽物と分かります:
   
  +
{{hc|$ drill -DT badsig.go.dnscheck.tools|
[B] sigfail.verteiltesysteme.net. 60 IN A 134.91.78.139
 
  +
'''[B]''' badsig.go.dnscheck.tools. 1 IN A 142.93.10.179
;; Error: Bogus DNSSEC signature
 
  +
;; Error: Bogus DNSSEC signature
;;[S] self sig OK; [B] bogus; [T] trusted
 
  +
;;[S] self sig OK; [B] bogus; [T] trusted; [U] unsigned
  +
}}
   
信頼できる署名テストをするは:
+
信頼できる署名テストして、その署名が信頼できること場合、以下の行で結果が終わるはずです:
   
$ drill -DT sigok.verteiltesysteme.net
+
{{hc|$ drill -DT go.dnscheck.tools|
  +
'''[T]''' go.dnscheck.tools. 1 IN A 142.93.10.179
 
  +
;;[S] self sig OK; [B] bogus; [T] trusted; [U] unsigned
以下のような結果が表示され、DNSSEC 署名が信頼できると分かります:
 
  +
}}
 
[T] sigok.verteiltesysteme.net. 60 IN A 134.91.78.139
 
;;[S] self sig OK; [B] bogus; [T] trusted
 
   
 
== DNSSEC 検証リゾルバーのインストール ==
 
== DNSSEC 検証リゾルバーのインストール ==
   
DNSSEC をシステム全体で使用するには、DNSSEC レコードを検証できる DNS リゾルバを使用して、すべての DNS ルックアップを経由するようにすることができます。利用可能なオプションについては、[[ドメイン名前解決#DNS サーバー]]を参照してください。DNSSEC 検証機能を有効にするにはそれぞれ特定のオプションを有効にする必要があります。
+
DNSSEC をシステム全体で使用するには、DNSSEC レコードを検証できる DNS リゾルバを使用して、すべての DNS ルックアップを経由するようにすることができます。利用可能なオプションについては、[[ドメイン名前解決#DNS サーバー]] を参照してください。DNSSEC 検証機能を有効にするにはそれぞれ特定のオプションを有効にする必要があります。
   
 
偽の (偽装された) IP アドレスを使ってサイトにアクセスしようとすると、検証リゾルバが不正な DNS データの受信を拒否するため、ブラウザ (や他のアプリケーション) にはそのようなホストは存在しないと表示されます。全ての DNS 取り合わせが検証リゾルバを経由するため、DNSSEC のサポートが組み込まれたソフトウェアをインストールする必要がありません。
 
偽の (偽装された) IP アドレスを使ってサイトにアクセスしようとすると、検証リゾルバが不正な DNS データの受信を拒否するため、ブラウザ (や他のアプリケーション) にはそのようなホストは存在しないと表示されます。全ての DNS 取り合わせが検証リゾルバを経由するため、DNSSEC のサポートが組み込まれたソフトウェアをインストールする必要がありません。
52行目: 54行目:
 
== 特定のソフトウェアで DNSSEC を有効化 ==
 
== 特定のソフトウェアで DNSSEC を有効化 ==
   
[[#DNSSEC 対応の検証キャッシュサーバーのインストール]]をしたくない場合、DNSSEC のサポートが組み込まれているソフトウェアを使う必要があります。大抵の場合、手動でソフトウェアにパッチを適用する必要があります。パッチが存在するアプリケーションのリストが [https://www.dnssec-tools.org/wiki/index.php?title=DNSSEC_Applications こちら] にあります。さらに、一部のウェブブラウザにはプログラムにパッチを適用しなくても DNSSEC を使うことができる拡張やアドオンが存在しています。
+
[[DNSSEC#DNSSEC 検証リゾルバのインストール|DNSSEC 検証リゾルバーのインストール]] をしたくない場合、DNSSEC のサポートが組み込まれているソフトウェアを使う必要があります。大抵の場合、手動でソフトウェアにパッチを適用する必要があります。パッチが存在するアプリケーションのリストが [https://www.dnssec-tools.org/wiki/index.php?title=DNSSEC_Applications こちら] にあります。さらに、一部のウェブブラウザにはプログラムにパッチを適用しなくても DNSSEC を使うことができる拡張やアドオンが存在しています。
   
 
== 参照 ==
 
== 参照 ==
  +
 
* [http://dnssec.vs.uni-due.de/ DNSSEC Resolver Test] - a simple test to see if you have DNSSEC implemented on your machine.
 
* [http://dnssec.vs.uni-due.de/ DNSSEC Resolver Test] - a simple test to see if you have DNSSEC implemented on your machine.
 
* [https://www.dnssec-tools.org/ DNSSEC-Tools]
 
* [https://www.dnssec-tools.org/ DNSSEC-Tools]
60行目: 63行目:
 
* [https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Securing_DNS_Traffic_with_DNSSEC.html RedHat: Securing DNS Traffic with DNSSEC] - thorough article on implementing DNSSEC with ''unbound''. Note that some tools are RedHat specific and not found in Arch Linux.
 
* [https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Security_Guide/sec-Securing_DNS_Traffic_with_DNSSEC.html RedHat: Securing DNS Traffic with DNSSEC] - thorough article on implementing DNSSEC with ''unbound''. Note that some tools are RedHat specific and not found in Arch Linux.
 
* [[Wikipedia:Domain Name System Security Extensions]]
 
* [[Wikipedia:Domain Name System Security Extensions]]
  +
  +
{{TranslationStatus|DNSSEC|2023-12-03|668615}}

2024年8月15日 (木) 13:38時点における最新版

関連記事

Wikipedia:ja:DNS Security Extensions より:

DNS Security Extensions (略称 DNSSEC) は、インターネットプロトコル (IP) で使用される Domain Name System (DNS) における応答の正当性を保証するための Internet Engineering Task Force (IETF) による拡張仕様である。サーバーとクライアントの双方がこの拡張に対応し、かつ拡張機能を使った形式で該当ドメイン情報が登録されていれば、DNS 応答の偽造や改竄を検出することができる。

基本的な DNSSEC 検証

ノート: DNS ルックアップで DNSSEC をデフォルトで使用するには設定が必要です。#DNSSEC 検証リゾルバーのインストール#特定のソフトウェアで DNSSEC を有効化 を見てください。

インストール

drill ツールを使って基本的な DNSSEC 検証が行なえます。drill を使うには ldns パッケージをインストールしてください。

その他の利用可能なツールについては ドメイン名前解決#Lookup ユーティリティ を参照してください。

DNSSEC 検証の問い合わせ

DNSSEC 検証の問い合わせを行うには、-D フラグを使います:

$ drill -D example.com

テスト

以下のドメインを使うことでテストが可能です。ルートサーバーから解決されるドメインまでトレースする -T フラグを追加してください:

以下のような結果が表示され、DNSSEC 署名が偽物と分かります:

$ drill -DT badsig.go.dnscheck.tools
[B] badsig.go.dnscheck.tools.   1       IN      A       142.93.10.179
;; Error: Bogus DNSSEC signature
;;[S] self sig OK; [B] bogus; [T] trusted; [U] unsigned

信頼できる署名をテストして、その署名が信頼できることを示す場合、以下の行で結果が終わるはずです:

$ drill -DT go.dnscheck.tools
[T] go.dnscheck.tools.  1       IN      A       142.93.10.179
;;[S] self sig OK; [B] bogus; [T] trusted; [U] unsigned

DNSSEC 検証リゾルバーのインストール

DNSSEC をシステム全体で使用するには、DNSSEC レコードを検証できる DNS リゾルバを使用して、すべての DNS ルックアップを経由するようにすることができます。利用可能なオプションについては、ドメイン名前解決#DNS サーバー を参照してください。DNSSEC 検証機能を有効にするにはそれぞれ特定のオプションを有効にする必要があります。

偽の (偽装された) IP アドレスを使ってサイトにアクセスしようとすると、検証リゾルバが不正な DNS データの受信を拒否するため、ブラウザ (や他のアプリケーション) にはそのようなホストは存在しないと表示されます。全ての DNS 取り合わせが検証リゾルバを経由するため、DNSSEC のサポートが組み込まれたソフトウェアをインストールする必要がありません。

特定のソフトウェアで DNSSEC を有効化

DNSSEC 検証リゾルバーのインストール をしたくない場合、DNSSEC のサポートが組み込まれているソフトウェアを使う必要があります。大抵の場合、手動でソフトウェアにパッチを適用する必要があります。パッチが存在するアプリケーションのリストが こちら にあります。さらに、一部のウェブブラウザにはプログラムにパッチを適用しなくても DNSSEC を使うことができる拡張やアドオンが存在しています。

参照

翻訳ステータス: このページは en:DNSSEC の翻訳バージョンです。最後の翻訳日は 2023-12-03 です。もし英語版に 変更 があれば、翻訳の同期を手伝うことができます。