ネットワーク用語 > DNSSEC

DNSSEC

DNSSEC = DNS Security Extension

DNSSECとは【DNS Security Extension】 - IT用語辞典

DNSSEC 【DNS Security Extension】
読み :ディーエヌエスセキュリティー
 
DNSのセキュリティを向上させるための拡張仕様。
サーバとクライアントの間で交わされるメッセージが改ざんされていないことを保証するため、メッセージのハッシュ値を公開鍵暗号方式で暗号化し、メッセージと共に送る。
届いたメッセージからハッシュ値を求め、復号したハッシュ値と一致すれば、改ざんが行われていない証拠となる。

DNS Security Extensions - Wikipedia

DNS Security Extensions(略称DNSSEC)は、DNSにおける応答の正当性を保証するための拡張仕様である。
サーバとクライアントの双方がこの拡張に対応し、かつ拡張機能を使った形式で該当ドメイン情報が登録されていれば、DNS応答の偽造や改竄を検出することができる。

概要
DNSSECはドメイン登録情報にデジタル署名を付加することで、正当な管理者によって生成された応答レコードであること、また応答レコードが改竄されていないことを保証する。
 
DNSでは、ドメイン登録情報はリソースレコード(Resource Records; RR)の集合として構成される。
リソースレコードにはいくつかの型が定義されており、ホスト名に対応するIPv4アドレスの定義にはA、IPv6アドレスにはAAAA、メールの送付先はMXというように使い分けている。
DNSSECはリソースレコードの型を追加し、認証に必要な情報を追加のリソースレコードとして扱う。
DNSSECに対応していないクライアントは、追加のリソースレコードを無視すれば従来どおり照会できる。

対応状況
DNSを実装するソフトウェアとしては、BINDがBIND9で対応するなど、DNSSEC対応が進んできている。
しかし実際の運用としては、2009年現在、まだごく一部でしか使われていない。

dnssec02_s.jpg

http://internet.watch.impress.co.jp/docs/special/20101006_398080.html
これまでのDNSとDNSSECの応答の違い

リンク

DNS

DNSSECのしくみ - ネットワークエンジニアを目指して
http://www.itbook.info/network/dns5.html

インターネット10分講座:DNSSEC
http://www.nic.ad.jp/ja/newsletter/No43/0800.html


トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS