DNSSECとは？

DNSSECはDNS応答の出自およびDNS応答の完全性を検証できる。言い換えると、キャッシュサーバからのDNSリクエストに対して、本当に権威サーバからの応答かどうかを電子署名で証明する。DNSの仕組み上、権威サーバの応答を偽装できてしまうため。

追加されたリソースレコード

DNSKEY : ゾーンを署名する秘密鍵に対応する公開鍵です。DNSキャッシュサーバはこのDNSKEYに記述されている公開鍵を使用し、署名を検証します。

RRSIG : リソースレコードの電子署名です。DNSキャッシュサーバはこのRRSIGに記述されている署名を使用し、問い合わせ本来の権威ネームサーバからの応答かどうか、パケット内容が改竄されていないかどうか、正当性を検証します。

DS : DNSKEYのハッシュ値です。これを親ゾーンに登録することで、信頼の連鎖を形成します。

NSEC : 存在していないゾーンについて問い合わせがあった場合に、そのゾーンを管理する権威ネームサーバが、不存在との旨の回答に署名するためのリソースレコードです。あるゾーンについての不存在を証明するため、下記の例のようにゾーンを辞書的な順序にソートしたとき、次に位置するゾーンが何になるか、NSECレコードでは示されます。ゾーン名を直接示さず、ハッシュ関数で計算されたハッシュ値でゾーンを示すのは NSEC3！！