DNSSEC を使用する(Linux)

ビデオチュートリアルを再生

DNSSEC とは DNS プロトコルの拡張であり、DNS データに署名することでドメイン名解決プロセスのセキュリティを強化できます。DNSSEC とその使用方法に関する基本情報は、ICANN のウェブサイトおよび https://tools.ietf.org/html/rfc6781 を参照してください。

Plesk では、ホストされるドメインの DNS データを DNSSEC によって保護できます。以下が可能です。

  • 鍵生成とロールオーバーに使用される設定を構成する
  • DNSSEC の仕様に従ってドメインゾーンを署名/署名解除する
  • 通知を受信する
  • DS リソースレコードを表示/コピーする
  • DNSKEY リソースレコードセットを表示/コピーする

 

要件
  • Bind DNS サーバを使用する Plesk for Linux(Bind 9.9 以降)
  • DNSSEC は有料の拡張です。Plesk の Web Host エディションと Web Pro エディションには無料で付属します。
  • DNSSEC は、Debian 8、Ubuntu 14.04、Ubuntu 16.04、CentOS 7、RedHat Enterprise Linux 7、CloudLinux 7、Virtuozzo Linux 7 で使用できます。

 

DNSSEC のサポートを有効化する

DNSSEC のサポートを有効化するには、Plesk DNSSEC 拡張([拡張]>[拡張カタログ])をインストールします。

2016-09-06_184223

  

デフォルト DNSSEC 設定を構成する

デフォルトの DNSSEC 設定は[ツールと設定]>[拡張]>[DNSSEC]にあります。KSK(鍵署名鍵)と ZSK(ゾーン署名鍵)のペアの生成ポリシーを変更できます。

KSK と ZSK の推奨ポリシー:

  • KSK(鍵署名鍵)の鍵とロールオーバー期間は長くする

    ゾーン所有者は KSK が更新されるたびに親ドメインゾーンの DS レコードを更新する必要があります。この推奨ポリシーによって、セキュリティを低下させることなく、親ゾーンでの DS レコードの更新回数を最低限に抑えることができます。

  • ZSK(ゾーン署名鍵)の鍵とロールオーバー期間は短くする

    ZSK は自動的に更新されます。推奨ポリシーに従うことで、セキュリティを低下させることなくシステムリソースを節約することができます。

ホスティング顧客がゾーンに署名するときは、デフォルト値を使用することも、異なる値を指定することもできます。詳しくは、「ドメインで DNSSEC を使用する」を参照してください。

2016-09-07_115530

  

DNSSEC によって DNS ゾーンを保護する

DNSSEC を使用するには、ドメイン所有者は DNS ゾーンに署名する必要があります。詳しくは、「ドメインで DNSSEC を使用する」を参照してください。

Plesk での鍵ロールオーバーの仕組み

ドメインの DNS が停止するのを防止するために、Plesk では KSK と ZSK にそれぞれ複数の鍵を使用することができます。DNS ゾーンへの変更をすべて有効にするために、以前に生成された鍵はしばらくの間新しい鍵と併存します。無効になった鍵は自動的に削除されます。

KSK ロールオーバー

Plesk は、鍵署名鍵(KSK)のロールオーバーに二重 RRset(Double-RRset)方式の変種を使用します。相違点は、Plesk がそれぞれのロールオーバー期間内に新旧 2 つの KSK を持つ点です。この方法により、ドメインゾーン所有者が親ゾーンで当該 DS レコードを更新する時間を十分に確保できます(たとえば、下の図におけるロールオーバーイベント 1 と 2 の間の期間)。

KSK ロールオーバーのためのユーザのアクション

ドメインゾーン所有者は、ロールオーバーについての通知や、親ゾーンで DS レコードを更新する必要があるという通知を受け取ります。この DS レコードは、一番古い KSK が失効し、一番新しい KSK が生成されると、無効になります(たとえば、下の図におけるロールオーバーイベント 2)。ドメインゾーン所有者が親ゾーンで DS レコードを更新しなかった場合は、通知後 1 つ目のロールオーバー期間が終了するときにドメイン解決が停止します。

注:現時点では、ドメインゾーン所有者への通知のテキストはカスタマイズできません。

KSK Rollover

ZSK ロールオーバー

スレーブ DNS サーバとキャッシュ DNS サーバに対してマスター DNS サーバと同期するための時間を十分に確保するために、Plesk は以下のような処理を行います。

  • ロールオーバーイベント前の特定のタイミングで、ゾーンに新しい鍵を追加する。
  • ロールオーバーイベント後の同じ特定のタイミングで、前の鍵を削除する。

この ZSK ロールオーバー前/後の「特定のタイミング」を、Plesk では「移行期間」と呼びます。移行期間は 30 日間か、ゾーンの SOA TTL 値と SOA Expire 値の合計です(合計 30 日以上の場合)。ただし、移行期間を ZSK ロールオーバー期間の半分より長くすることはできません。ロールオーバー機能が破損してゾーン署名が無効になるためです。

従って、ZSK ロールオーバーが正しく実行されるように、Plesk は以下の値に上限を設定します。

  • ゾーンの SOA TTL と SOA Expire の値。これらの値の合計は、計算された特定の値より長くできません。
  • ZSK ロールオーバー期間。これらの値は計算された特定の値より短くできません。

ZSK ロールオーバーのためのユーザのアクション

ZSK ロールオーバー時にドメインの DNS ゾーン所有者が行うべき作業はありません。

ZSK Rollover