レ点腫瘍学ノート

Top / 日記 / 2021年 / 6月15日

Cloudflare CDNでDNSSEC有効化の手順

Cloudflare CDNでDNSSEC有効化の手順

CloudflareのCDNではDNSSECを無償で利用できます。またVALUE DOMAINもDNSSECに対応しました。設定の入力欄がわかりにくいのでここにメモしておきます。

DNS問い合わせでは、ユーザーがドメインのIPアドレスを問い合わせた際にキャッシュサーバが権威サーバからもらったIPアドレスを返事することで、ユーザーがそのドメインに対応するIPアドレスにアクセスできるようになっています。

しかし悪意を持った攻撃者がキャッシュサーバに意図的に誤ったドメインとIPアドレスの組み合わせを伝えるキャッシュポイズニングによって、ユーザーを意図せぬサイトに誘導することができるようになります。これはフィッシング詐欺などにつながるため、正規でないサーバから偽装されたIPアドレス情報が送られてきてもそれが正しくない情報であることを認識することでキャッシュポイズニングを防ぐことができるようになる、これがDNSSECの意義になります。

CloudflareでDNSSECを有効化すると

06f1d6ae28.jpg

CloudflareのDNSの設定項目にDNSSECを有効化するというボタンがあり、これをクリックするとDNSSECの準備中の表示になります。Cloudflare側の設定だけでなくドメインのレジストラー側の設定が必要で、レジストラー側の設定が終わらないと準備中から進展しません。

準備中になるとDSレコードを見ることができるようになります。下記のようなDSレコードが表示されているはずです(下記の数字は例示のために示した偽の数字です)。

項目名内容備考
DS レコードyourdomain.com 3600 IN DS 12345 13 2 13579ACE...
ダイジェスト13579ACE...64字の文字列
ダイジェストの種類22はSHA256を意味する(下記参照)
アルゴリズム13
公開鍵a8er3i...88字くらいの文字列
キータグ123454〜5桁くらいの数字
フラグ259(KSK)

このうち使用するのはDSレコードのDS以降(上記の表であれば「12345 13 2 13579ACE...(64字の文字列)」)になります。このうち3番目のフィールド(値)が「2」になっていますが、これはハッシュアルゴリズムSHA-256を示しています。他にこの値が「4」の場合はハッシュアルゴリズムがSHA-384を示し、「1」の場合はSHA-1ですが、SHA-384は対応していないサーバがありSHA-1はセキュリティに脆弱性があるので、SHA-256を使用するのが最も良いと思います。

VALUE DOMAINにDNSSECの設定を登録する

06f1d6ae28_b.jpg

VALUE DOMAINのドメイン管理画面から「ネームサーバー変更」に進み、ネームサーバー一覧が表示されているところからずっと下にスクロールすると「DNSSECで使用する署名鍵を設定」という欄があり署名鍵を入力する枠があります。

ここに先ほどの「12345 13 2 13579ACE...(64字の文字列)」を入力します。yourdomain.com 3600 IN DSの部分までは不要です。これを入力してから10分ほど待つとDNSSECが有効になります。

DNSSECの設定についてはこちらのサイトが参考になりました。

やってみようDNSSEC (自分で頑張りたい方へ):IIJ DNSプラットフォームサービスのスゴいところ(第5回) | IIJ Engineers Blog
はじめに IIJ DNSプラットフォームサービスのスゴいところを紹介する最終回です。そのはずです。でも、サービスの話はまったくしません。サービスを使ってくれなく...
https://eng-blog.iij.ad.jp/archives/5739#%e8%87%aa%e5%89%8d%e3%81%a7dnssec

この記事に対するコメント

このページには、まだコメントはありません。

お名前:

更新日:2021-06-15 閲覧数:1609 views.