X
ドメインのDNSSECの設定方法とトラブルシューティング
DNSSECは、DNS解決時にドメインのDNSレコードが改ざんされるのを防ぐのに役立ちます。DNSレスポンダーがDNS応答が正しいソースから来ていることを確認できる検証レイヤーを追加します。
NiceNICでは、DNSSECは通常2つの側面があります:
あなたのDNSプロバイダーまたはネームサーバープロバイダーがDNSSECレコードを生成します。
NiceNICはドメイン登録者として、TLDがDNSSECをサポートしている場合にDSレコードをレジストリに提出するのを支援します。
DNSSECが正しく設定されていない場合、ドメインにDNSSECエラーが表示されたり、重大な場合は一部のユーザーがウェブサイトにアクセスできなくなることがあります。
DNSSECとは何ですか?
DNSSECはドメイン名 System Security Extensionsの略です。
簡単に言うと、DNSSECはDNS照会プロセス中にドメインのDNS応答が改ざんや偽造されていないことを検証するのに役立ちます。
例えば、誰かがあなたのウェブサイトを訪れるとき、DNSは正しいサーバーIPアドレスを見つけるために使われます。DNSSECはDNS結果が本物であり、偽のデータに置き換えられていないことを確認します。
DNSSECはSSL、ウェブサイトセキュリティ、ホスティングセキュリティ、またはメールセキュリティに代わるものではありません。DNS解決プロセスの保護にのみ役立ちます。
DNSSECが必要な場合は?
不正なDNSSEC設定はドメインの解決に影響を与える可能性があります。
重要なDNSSEC用語
DNSKEY: DNSKEYレコードはあなたのDNSプロバイダーにより生成されます。これはDNSSEC検証プロセスの一部として使われます。
DSレコード: DSレコードはドメインのDNSSEC設定と親レジストリゾーンを結び付けます。多くの場合、DNSプロバイダーがDSレコードを提供し、あなたはレジストラを通じて追加する必要があります。
ネームサーバー: ネームサーバーはドメインのDNSレコードが管理される場所を決定します。ネームサーバーを変更した場合、DNSSECレコードも更新が必要な場合があります。
ドメインにDNSSECを有効にする方法
ステップ1: DNSプロバイダーがDNSSECをサポートしているか確認
管理しているDNSプラットフォームにログインします。
これは以下のいずれかです:
あなたのドメイン登録事業者、ここではNiceNIC
あなたのホスティングプロバイダー
あなたのDNSプロバイダー
あなた自身のDNSサーバー
他のサードパーティのDNSサービス
そこでDNSSECがサポートされ有効になっていることを確認してください。
ステップ2: DNSプロバイダーからDSレコードを取得
DNSSECを有効にした後、DNSプロバイダーは以下のDNSSEC情報を提供するはずです:
キータグ
アルゴリズム
ダイジェストタイプ
ダイジェスト
DSレコード
提供された情報を正確にコピーしてください。
たった1文字の誤りでもDNSSEC検証が失敗する可能性があります。
ステップ3: NiceNICアカウントにDSレコードを追加
NiceNICアカウントにログインし、ドメイン管理ページへ進みます。
そこでDNSプロバイダーが提供したDSレコードを追加してください。
どこに追加すればよいかわからない場合は、サポートチームに連絡し、DNSプロバイダーからのDSレコードを提供してください。
ステップ4: DNSSECの伝播を待つ
DSレコードが追加された後、更新が伝播するまで時間がかかる場合があります。
この期間中、DNSSECの検査結果がすぐに更新されないことがあります。
ステップ5: DNSSEC状態を確認
伝播後、DNSSECチェックツールを使用するかサポートチームに連絡して、ドメインのDNSSEC状態を確認できます。
DNSSECが正しく設定されていれば、DNSSEC検証結果は有効な信頼の連鎖を示します。
DNSSECを無効または削除すべき時
以下の場合はDNSSECレコードの削除または更新が必要です:
この場合、古いDSレコードをまず削除し、伝播を待ち、正しい新しいレコードで再びDNSSECを有効にする必要があります。
なぜドメインに「DNSSEC情報は現在利用できません」と表示されるのか?
次のようなメッセージが表示される場合があります:
このドメインのDNSSEC情報は現在利用できません。
これはいくつかの理由によります:
ただし、ウェブサイトやメールが正しく解決されない場合は、サポートに連絡してDNSSEC設定の確認を依頼してください。
サポートに提供すべき情報は?
DNSSECの問題を迅速に調査するために、次の情報を提供してください:
DNSSECに関するよくある質問
1. すべてのドメインにDNSSECは必須ですか?
いいえ。すべてのドメインにDNSSECは必須ではありません。
ただし、より強力なDNSセキュリティを必要とするビジネス用ウェブサイト、メールサービス、ログインシステム、金融サービス、顧客ポータルには推奨されます。
DNSSECが必要かどうかわからない場合は、DNSプロバイダーがサポートしているかどうか、DNSSECレコードの管理に慣れているかどうかを確認してください。
2. DNSSECはSSLと同じものですか?
いいえ。
SSLはユーザーのブラウザとウェブサイト間の接続を保護します。
DNSSECはDNS応答が改ざんされていないことを検証することでDNS解決を保護します。
より安全にするため、多くのサイトはSSLとDNSSECの両方を使用していますが、それぞれ異なる技術です。
3. NiceNICはDNSSECレコードを生成できますか?
多くの場合、DNSSECレコードはレジストラではなくDNSプロバイダーが生成します。
ドメイン拡張子がDNSSECをサポートしている場合、NiceNICはDSレコードのレジストリ提出を支援できます。
サードパーティDNSプロバイダーを使用している場合は、まずそこでDNSSECを有効にし、DSレコードを提供してください。
4. ネームサーバー変更後にDNSSECが失敗するのはなぜ?
これは最も一般的なDNSSEC問題の一つです。
ネームサーバー変更時、古いDNSSECレコードが新DNSプロバイダーのDNSKEYと一致しなくなる場合があります。
古いDSレコードがレジストリに残っているとDNSSEC検証が失敗します。
ネームサーバー変更の前後にDSレコードの削除や置換が必要かどうか確認してください。
5. DSレコードが間違っているとどうなる?
DSレコードが現在のDNSプロバイダーのDNSKEYと一致しなければDNSSEC検証が失敗します。
そのため一部のDNSリゾルバーがDNS応答を拒否することがあります。
結果的に一部ユーザーのウェブサイトやメールなどのサービスへの到達性が失われる場合があります。
6. DNSSECを使っていません。何かすべきですか?
DNSSECを使っていなければ、ドメインにDSレコードがなければ通常何もする必要はありません。
ただし以前のDNSプロバイダーからの古いDSレコードがある場合は、DNSSEC検証問題を避けるため削除してください。
7. レコード更新後もDNSSECステータスにエラーが表示されるのはなぜ?
DNSSEC更新の伝播には時間がかかることがあります。
DSレコードを最近追加、削除、変更した場合は伝播を待ってから再度確認してください。
問題が続く場合はサポートに連絡し、ドメイン名、現在のネームサーバー、DSレコードを提供してください。
8. DNSSECが原因でウェブサイトが動かなくなることはありますか?
はい、DNSSECが誤って設定されている場合はあります。
主な原因は以下の通りです:
9. ネームサーバー変更前にDNSSECは削除すべきですか?
多くの場合、はい。
新しいDNSプロバイダーに移行する場合、安全にDNSSECを移行する方法が不明な場合は、ネームサーバーを変更する前に古いDSレコードを削除するとDNSSEC検証失敗のリスクを減らせます。
新しいネームサーバーが有効になり、新DNSプロバイダーでDNSSECが有効化されたら、再度新しいDSレコードを追加できます。
10. 「DNSSEC情報の取得に失敗しました」と表示されたらどうすれば?
これは通常、システムがドメインの有効なDNSSEC情報を取得できなかったことを意味します。
以下を確認してください:
NiceNICで登録されたドメインにDNSSECを設定する方法
1. NiceNICアカウントにログインし、ドメイン管理ページに移動します。 DNSSECを有効にしたいドメインを見つけ、管理をクリックします。
2. ドメイン管理セクションでDNSSECボタンが表示されます。 DNSSECボタンをクリックしてDNSSEC設定ページにアクセスします。
3. DNSSEC構成のために必要な情報を入力します(通常はDNSホスティングプロバイダーから提供されたDNSSECキー情報が含まれます)。
必要なDNSSECキー情報(通常はDSレコード)を入力すると、DNSSECがドメイン設定に正常に追加されたことが確認できます。
DNSSECステータスは有効として表示され、公開鍵やその他の詳細を見ることができます。
DNSSECが有効になったことで、ドメインはDNS関連の攻撃からより良く保護されます。
注意:もしドメインが他のレジストラからNiceNICに移管され、以前のレジストラでDNSSECを無効にしたい場合 はじめに最新のWHOIS情報を確認してください。”DNSSEC: unsigned”と表示されていれば、ドメイン移管プロセス中に旧レジストラにより自動的にDNSSEC設定が無効になっています。 “DNSSEC: signed”の場合はNiceNICのコントロールパネル内のドメイン管理セクションでDNSSECボタンが見えるはずです。DNSSECボタンをクリックしてDNSSEC設定ページにアクセスしてください。
DNSSECは、DNS解決時にドメインのDNSレコードが改ざんされるのを防ぐのに役立ちます。DNSレスポンダーがDNS応答が正しいソースから来ていることを確認できる検証レイヤーを追加します。
NiceNICでは、DNSSECは通常2つの側面があります:
あなたのDNSプロバイダーまたはネームサーバープロバイダーがDNSSECレコードを生成します。
NiceNICはドメイン登録者として、TLDがDNSSECをサポートしている場合にDSレコードをレジストリに提出するのを支援します。
DNSSECが正しく設定されていない場合、ドメインにDNSSECエラーが表示されたり、重大な場合は一部のユーザーがウェブサイトにアクセスできなくなることがあります。
DNSSECとは何ですか?
DNSSECはドメイン名 System Security Extensionsの略です。
簡単に言うと、DNSSECはDNS照会プロセス中にドメインのDNS応答が改ざんや偽造されていないことを検証するのに役立ちます。
例えば、誰かがあなたのウェブサイトを訪れるとき、DNSは正しいサーバーIPアドレスを見つけるために使われます。DNSSECはDNS結果が本物であり、偽のデータに置き換えられていないことを確認します。
DNSSECはSSL、ウェブサイトセキュリティ、ホスティングセキュリティ、またはメールセキュリティに代わるものではありません。DNS解決プロセスの保護にのみ役立ちます。
DNSSECが必要な場合は?
- 以下の場合、DNSSECを有効にしたいかもしれません:
- あなたのウェブサイトが機密のユーザー情報を扱っている場合。
- ビジネス用のメール、ログインシステム、支払いページ、または顧客ポータルを運営している場合。
- より強力なドメインセキュリティを求める場合。
- あなたのDNSプロバイダーがDNSSECをサポートしている場合。
- ドメインの拡張子がDNSSECをサポートしている場合。
不正なDNSSEC設定はドメインの解決に影響を与える可能性があります。
重要なDNSSEC用語
DNSKEY: DNSKEYレコードはあなたのDNSプロバイダーにより生成されます。これはDNSSEC検証プロセスの一部として使われます。
DSレコード: DSレコードはドメインのDNSSEC設定と親レジストリゾーンを結び付けます。多くの場合、DNSプロバイダーがDSレコードを提供し、あなたはレジストラを通じて追加する必要があります。
ネームサーバー: ネームサーバーはドメインのDNSレコードが管理される場所を決定します。ネームサーバーを変更した場合、DNSSECレコードも更新が必要な場合があります。
ドメインにDNSSECを有効にする方法
ステップ1: DNSプロバイダーがDNSSECをサポートしているか確認
管理しているDNSプラットフォームにログインします。
これは以下のいずれかです:
あなたのドメイン登録事業者、ここではNiceNIC
あなたのホスティングプロバイダー
あなたのDNSプロバイダー
あなた自身のDNSサーバー
他のサードパーティのDNSサービス
そこでDNSSECがサポートされ有効になっていることを確認してください。
ステップ2: DNSプロバイダーからDSレコードを取得
DNSSECを有効にした後、DNSプロバイダーは以下のDNSSEC情報を提供するはずです:
キータグ
アルゴリズム
ダイジェストタイプ
ダイジェスト
DSレコード
提供された情報を正確にコピーしてください。
たった1文字の誤りでもDNSSEC検証が失敗する可能性があります。
ステップ3: NiceNICアカウントにDSレコードを追加
NiceNICアカウントにログインし、ドメイン管理ページへ進みます。
そこでDNSプロバイダーが提供したDSレコードを追加してください。
どこに追加すればよいかわからない場合は、サポートチームに連絡し、DNSプロバイダーからのDSレコードを提供してください。
ステップ4: DNSSECの伝播を待つ
DSレコードが追加された後、更新が伝播するまで時間がかかる場合があります。
この期間中、DNSSECの検査結果がすぐに更新されないことがあります。
ステップ5: DNSSEC状態を確認
伝播後、DNSSECチェックツールを使用するかサポートチームに連絡して、ドメインのDNSSEC状態を確認できます。
DNSSECが正しく設定されていれば、DNSSEC検証結果は有効な信頼の連鎖を示します。
DNSSECを無効または削除すべき時
以下の場合はDNSSECレコードの削除または更新が必要です:
- ネームサーバーを変更した場合。
- DNS管理を別のプロバイダーに移行した場合。
- DNSプロバイダーがDNSSECを無効にした場合。
- DSレコードが現在のDNSKEYと一致しなくなった場合。
- DNS変更後にウェブサイトやメールがDNS解決問題を起こした場合。
この場合、古いDSレコードをまず削除し、伝播を待ち、正しい新しいレコードで再びDNSSECを有効にする必要があります。
なぜドメインに「DNSSEC情報は現在利用できません」と表示されるのか?
次のようなメッセージが表示される場合があります:
このドメインのDNSSEC情報は現在利用できません。
これはいくつかの理由によります:
- このドメインでDNSSECが有効になっていない。
- レジストラレベルでDSレコードが追加されていない。
- ドメインの現在のネームサーバーがDNSSECをサポートしていない。
- ドメインが最近ネームサーバーを変更した。
- DSレコードが現在のDNSKEYと一致しない。
- DNSプロバイダーが必要なDNSSECレコードを正しく公開していない。
- レジストリまたはDNSSECクエリが一時的に利用できない。
ただし、ウェブサイトやメールが正しく解決されない場合は、サポートに連絡してDNSSEC設定の確認を依頼してください。
サポートに提供すべき情報は?
DNSSECの問題を迅速に調査するために、次の情報を提供してください:
- あなたのドメイン名
- 現在のネームサーバー
- 最近ネームサーバーを変更したかどうか
- DNSプロバイダーが提供したDSレコード
- DNSプロバイダーでのDNSSEC設定のスクリーンショット
- 受け取ったDNSSECエラーメッセージ
- 現在ウェブサイトやメールが影響を受けているかどうか
DNSSECに関するよくある質問
1. すべてのドメインにDNSSECは必須ですか?
いいえ。すべてのドメインにDNSSECは必須ではありません。
ただし、より強力なDNSセキュリティを必要とするビジネス用ウェブサイト、メールサービス、ログインシステム、金融サービス、顧客ポータルには推奨されます。
DNSSECが必要かどうかわからない場合は、DNSプロバイダーがサポートしているかどうか、DNSSECレコードの管理に慣れているかどうかを確認してください。
2. DNSSECはSSLと同じものですか?
いいえ。
SSLはユーザーのブラウザとウェブサイト間の接続を保護します。
DNSSECはDNS応答が改ざんされていないことを検証することでDNS解決を保護します。
より安全にするため、多くのサイトはSSLとDNSSECの両方を使用していますが、それぞれ異なる技術です。
3. NiceNICはDNSSECレコードを生成できますか?
多くの場合、DNSSECレコードはレジストラではなくDNSプロバイダーが生成します。
ドメイン拡張子がDNSSECをサポートしている場合、NiceNICはDSレコードのレジストリ提出を支援できます。
サードパーティDNSプロバイダーを使用している場合は、まずそこでDNSSECを有効にし、DSレコードを提供してください。
4. ネームサーバー変更後にDNSSECが失敗するのはなぜ?
これは最も一般的なDNSSEC問題の一つです。
ネームサーバー変更時、古いDNSSECレコードが新DNSプロバイダーのDNSKEYと一致しなくなる場合があります。
古いDSレコードがレジストリに残っているとDNSSEC検証が失敗します。
ネームサーバー変更の前後にDSレコードの削除や置換が必要かどうか確認してください。
5. DSレコードが間違っているとどうなる?
DSレコードが現在のDNSプロバイダーのDNSKEYと一致しなければDNSSEC検証が失敗します。
そのため一部のDNSリゾルバーがDNS応答を拒否することがあります。
結果的に一部ユーザーのウェブサイトやメールなどのサービスへの到達性が失われる場合があります。
6. DNSSECを使っていません。何かすべきですか?
DNSSECを使っていなければ、ドメインにDSレコードがなければ通常何もする必要はありません。
ただし以前のDNSプロバイダーからの古いDSレコードがある場合は、DNSSEC検証問題を避けるため削除してください。
7. レコード更新後もDNSSECステータスにエラーが表示されるのはなぜ?
DNSSEC更新の伝播には時間がかかることがあります。
DSレコードを最近追加、削除、変更した場合は伝播を待ってから再度確認してください。
問題が続く場合はサポートに連絡し、ドメイン名、現在のネームサーバー、DSレコードを提供してください。
8. DNSSECが原因でウェブサイトが動かなくなることはありますか?
はい、DNSSECが誤って設定されている場合はあります。
主な原因は以下の通りです:
- 誤ったDSレコード
- ネームサーバー変更後に残った古いDSレコード
- DNSKEYが存在しない
- DNSプロバイダーがDNSSECレコードを正しく公開していない
- 期限切れまたは無効なDNSSEC署名
9. ネームサーバー変更前にDNSSECは削除すべきですか?
多くの場合、はい。
新しいDNSプロバイダーに移行する場合、安全にDNSSECを移行する方法が不明な場合は、ネームサーバーを変更する前に古いDSレコードを削除するとDNSSEC検証失敗のリスクを減らせます。
新しいネームサーバーが有効になり、新DNSプロバイダーでDNSSECが有効化されたら、再度新しいDSレコードを追加できます。
10. 「DNSSEC情報の取得に失敗しました」と表示されたらどうすれば?
これは通常、システムがドメインの有効なDNSSEC情報を取得できなかったことを意味します。
以下を確認してください:
- DNSSECが有効になっているか
- DSレコードが追加されているか
- ネームサーバーがDNSSECをサポートしているか
- DSレコードがDNSKEYと一致しているか
- 最近ネームサーバーを変更したか
NiceNICで登録されたドメインにDNSSECを設定する方法
1. NiceNICアカウントにログインし、ドメイン管理ページに移動します。 DNSSECを有効にしたいドメインを見つけ、管理をクリックします。
2. ドメイン管理セクションでDNSSECボタンが表示されます。 DNSSECボタンをクリックしてDNSSEC設定ページにアクセスします。
3. DNSSEC構成のために必要な情報を入力します(通常はDNSホスティングプロバイダーから提供されたDNSSECキー情報が含まれます)。
4. 情報を入力後、「追加」をクリックしてドメインでDNSSECを有効にします。 成功したDNSSEC設定の例はこちらです:
必要なDNSSECキー情報(通常はDSレコード)を入力すると、DNSSECがドメイン設定に正常に追加されたことが確認できます。
DNSSECステータスは有効として表示され、公開鍵やその他の詳細を見ることができます。
DNSSECが有効になったことで、ドメインはDNS関連の攻撃からより良く保護されます。
注意:もしドメインが他のレジストラからNiceNICに移管され、以前のレジストラでDNSSECを無効にしたい場合 はじめに最新のWHOIS情報を確認してください。”DNSSEC: unsigned”と表示されていれば、ドメイン移管プロセス中に旧レジストラにより自動的にDNSSEC設定が無効になっています。 “DNSSEC: signed”の場合はNiceNICのコントロールパネル内のドメイン管理セクションでDNSSECボタンが見えるはずです。DNSSECボタンをクリックしてDNSSEC設定ページにアクセスしてください。
お困りですか?いつでもお気軽にご相談ください。
チケットを送信
