2020年06月29日(月) - 22:48 | カテゴリ:
Network
独自ドメインを利用するには何でも良いから権威DNSが必要となるので、
普通の人ならばレジストラが提供している権威DNSを使っていると思う。
筆者の場合はスキル向上と世間のDNS動向を調査する為に自前で権威DNSを運用しており、
メインで利用している “ns-lab.org” 含め、関連する4ドメインで分速10~50クエリを捌いている。
DNSは昔から存在する事もあり基本的な考え方は枯れているが、
昨今は「DNS over TLS/HTTPS」セキュリティ強化を図ったり、
以前話題になった「NXNSAttack」の様に新しい攻撃手法が日々編み出されたりしている。
………
そんな中、古めの技術なのに日本で普及していない技術としてDNSSECが存在する。
DNSSECを使うにはレジストリにDSレコード登録が必要な上、ミスるとドメインが全滅する危険がある。
また、キャッシュDNSがDNSSECに対応していない事も多く普及していないのが現状となる。
筆者が所有している4ドメインもコレに漏れず、権威DNSはDNSSECに対応していない。
そもそも、利用しているレジストリがDSレコード申請に対応していない事もあるのだが、
KSK/ZSK運用のナレッジも無いので、対応をずっと見送っていた。
ちょっと前に自宅サーバ刷新が完了した事もあり、暫くの間は積みゲーで遊んだりしていたのだが、
そろそろ自鯖沼に戻りたくなってきたので、スキルを磨けそうなネタが何か無いか探していた。
今上がっている物としては、ESXi 7.0構築、eBGP/iBGPルーティングがあるのだが、
ずっと放置していたDNSSECに着手するのもアリだと思ったので本格的に検討してみた。
ただ、DNSSEC構築する上で問題となったのは、上位レジストリに依頼するDSレコード登録だった。
筆者が所有しているドメインはgTLDドメインなのだが、
大多数のレジストラがgTLDドメインのDSレコード登録申請に対応しておらず、
対応レジストラを探し出しても、企業が使う代物でお値段的に個人利用お断りだった。
そんな中でもJPRS管理の “JP” ドメインはDSレコード登録申請に対応しているレジストラが数件あった。
ならば、今回を機にJPドメインを取得するのも良かろうと思い、ドメイン取得に向けて情報収集を開始した。
頭を捻りながら新規取得のドメイン名を考えつつ、JPドメインオークションも徘徊確認していた所、
まんま「技術検証」に打って付けなドメインが出品されていた。
『これは何かの縁だ。買わねば!』と思い、初のドメインオークションに参加して無事ドメインを落札。
という事で、昨今のIT屋だったら何処かで聞いた事がある3文字をJPドメインで取得出来た。
whois代行を使っているので、オークション時のレジストラ情報が公開されている。
………
今回はオークション初参加だったので、普段から利用しているバリュードメイン経由で参加してみた。
無事落札出来たので筆者の名義で管理者登録が行われた上、whois代行で公開情報を上書きしている。
ただ、バリュードメインはDSレコード登録申請に対応していないので、
他社にレジストラトランスファーを行う必要が出てきた。
JPRS公開のDNSSEC対応レジストラを確認しつつ個人利用出来そうな所を探した所、
「お名前.com」「ゴンベエドメイン」なら個人利用でもDNSSECに対応している事が判明。
両レジストラのサポートにも聞いた所、ゴンベエドメインならDSレコード登録申請に対応している事が判明。
お名前.comもDNSSEC自体には対応していたのだが、レジストラ所有の権威DNS利用が必須条件となり、
今回の要件となる『自前で構築』を満たせなかったので選択肢から無くなった。
DNSSECの運用は難易度が高い上、運用を失敗するとドメインの名前解決が全滅する危険が付き纏う。
その上、キャッシュDNSがDNSSECに対応していない事が多く、恩恵を受けるシーンが少ないのが現状となる。
業務利用なら専用サービスを用いる事が出来る上、今ならDNSSEC対応を謳ったサービスも出てきている。
そうは言っても、基礎知識をもった上でサービスを利用するのと、知らないで利用するのは雲泥の差なので、
今回を機にDNSSEC運用スキルを身につけようと思う。
« 続きを隠す
