• 日記さん 大きなところで使うべき技術を小さなところで

もうすぐ独自ドメインを取得して60日になるので、レジストラ移管ができるようになります。

レジストラ移管をしたらDNSSECを有効化しようと思っているので、実際にどんな運用になるのかを予習していました。

大変そうなDNSSEC運用

• Internet Week 2012 DNSSECチュートリアル (PDF)

DNSSECを導入する場合、一般的には

• 親ゾーン(レジストラ)にDSレコードを追加
• 子ゾーン(権威DNS)にいろいろレコードを追加

ということをやります。

今のレジストラ(シンドメイン)はDSレコードが追加できない仕様になっているので、DNSSEC対応ができないけれど、DNSSEC対応のPorkbunにレジストラ移管をするとできるようになるというわけです。

• JAIPA セキュリティ部会 DNSSEC勉強会 DNSSEC 技術と運用 (PDF)

で、ややこしいのが定期的に鍵の更新があること。

鍵が更新されると各レコードの署名がやり直しになるし、さらに親ゾーンでは子ゾーンの鍵の情報を持っているので、子ゾーン側で鍵が新しくなったら親ゾーン側のレコードに影響します。

このあたりは、一般的には、手作業で書き換えていくことになるようです。

え、それめっちゃめんどいやん！しかもやり忘れたりミスったりしたら、DNSが機能しなくなるので、ウェブもメールも止まってしまいます。

DNSSECがなかなか広まらない理由のひとつはこれなんやろなあ・・・セキュリティが強化される代わりに、正しいユーザーを締め出してしまう危険性があるという。

全自動運用？

• How Does DNSSEC Works? | Cloudflare
• Universal DNSSEC | Cloudflare

子ゾーンを管理しているCloudflareでは、DNSSECを設定で有効化するだけで、子ゾーン側の鍵更新や再署名は全部やってくれるようです。なので、Cloudflareを使っている限りは子ゾーン側は放置で大丈夫なのかも？

で、今度親ゾーン管理をすることになるPorkbunはどうかというと・・・

• How to enable Porkbun’s Cloudflare DNSSEC - Porkbun Knowledge Base

Cloudflare DNSSECという設定があるので、子ゾーンをCloudflareで管理している場合は、自動で子ゾーン側の鍵情報を吸い上げて反映させてくれるのかも？NSレコードさえ書いておけば。

ということは、親ゾーン・子ゾーンとも放置運用が成り立つってことなんかな・・・？

子ゾーンの鍵が変わったことをリアルタイムで親ゾーンに反映しないと、情報がずれてる期間DNS機能が死んでしまうので、そのあたりもちゃんとやってくれるんやろか・・・？

• DSレコード設定（新規追加/編集/削除）｜お名前.com Navi ガイド｜ドメイン取るならお名前.com

ちなみにレジストラがお名前.comとかだと、DNSSECに対応しているものの、DSレコードは手入力みたいなので、運用大変そうです。