DNSSECをサイトに追加するには何が必要ですか?
DNSSECをサイトに追加するには何が必要ですか?
証明書を購入する必要があるのはHTTPS/SSLのようなものですか、それとも自分で証明書を生成して使用できますか? DNSSECを使用できる無料の方法はありますか、またはこのサービスに料金を支払う必要がありますか?たとえば、独自のDNSサーバーをセットアップした場合、またはDNSSECを備えた無料のネームサーバーがある場合。
Webホストのネームサーバーを使用する場合、DNSSECを年間9ドルで購入できます。
さらに調査した結果、答えが見つかりました。
DNSSECは、 DNSキャッシュポイズニング から保護します。詳細については、 カミンスキーのバグについて を参照してください。
DNSSECは、レジストラが提供する追加サービスのようです。少なくとも.seでは、他のトップドメインについては何も見つけていません。
From DNSSEC –セキュアドメインへのパス :
現在、.SEのDNSSECサービスは、多くのレジストラ(つまり、ドメイン名の再販業者)によって提供される追加サービスです。これは、DNSクエリへの回答が偽造された攻撃を受けない安全なドメインを取得する唯一の方法です。自分のWebアドレスと電子メールアドレスを保護することに興味がありますか。詳細については、レジストラにお問い合わせください。ドメインでDNSSECを使用しているかどうかわからない場合は、 http://www.kaminskybug.se/ で完全に無料で簡単に見つけることができます。
DNSSECを機能させるには、2つの要素があります。
- キーを生成し、DNSレコードに署名します。
- DSレコード を使用して、キーのハッシュを親ゾーン(
.seの場合はexample.se)に入れます。
後者は、.seおよび他のTLDの増加により可能です( ウィキペディアでのDNSSEC展開 を参照するか、 dnssec-deploymentメーリングリスト を購読してください)。
質問のDIYの部分に関しては、ゾーンにDNSSECを実装する方法はかなりあります。現在のDNSサーバーにはすでにDNSSECがサポートされていますが、それでも上記の手順を実行する必要があります。本当に自分でやりたい場合は、 バインドツール (keygenとsignzone)または OpenDNSSEC スイートのようなものを使用できます。
ポートフォリオにはDNSSECを提供するプロバイダーもありますが、通常はドメインをそれらに移すか、途中でDNSSECなどを使用する必要があります。通常のDNSサーバーの前に座って署名を実行するKaminskyによる 最近公開されたPhreebird をご覧ください。 exanames をお勧めします。これは、可能な限りDNSSECに関連する作業を行うように設計されていますが、私は開発者の1人であるため、偏見があります。
DNSSECが何かわからない場合は、おそらく適用されません。 DNSサーバーを実行している人々が実装しなければならないものです。つまり、ウェブホストとISPおよびユーザーのISPを意味します。まだDNSSECを展開していない場合、それについてできることはあまりありません。