Defaults.Exposed › 設定 › DNSSEC

Cloudflare で DNSSEC を設定する方法

Cloudflare で DNSSEC を有効にし、レジストラ側に DS レコードを追加して、誰にも DNS の応答を偽造させないようにします。

これがビジネスにとって重要な理由

誰かがあなたのドメインを入力したりメールを送ったりすると、その人のコンピューターは DNS システムに正しいアドレスを問い合わせます。通常この応答は署名されずに送られるため、応答を改ざんできる攻撃者は、あなたの訪問者をひそかに偽サイトへ誘導したり、メールを自分のサーバーへ転送したりできます。その間ずっと、お客様にはアドレスバーに本物のドメインが表示されています。

DNSSEC はその隙を塞ぎます。DNS の応答を暗号的に署名するため、あなたを調べる側は、その応答が本当にあなたから来たもので、途中で改ざんされていないことを証明できます。平たく言えば、犯罪者があなたのドメインを乗っ取ったり、人々をあなたへ導く名前解決を汚染したりするのを防ぎます。無料で、すべての土台となる部分に対して有効にできる最も強力な保護の 1 つです。

DNSSEC の実際の仕組み（手順の意味を理解するために）

DNSSEC には、2 つの場所に存在する 2 つの半分があります。

• あなたの DNS ホスト（Cloudflare）がレコードに署名し、公開鍵（DNSKEY）と、その小さな指紋である DS レコード を公開します。
• あなたの レジストラ（ドメインを購入・更新している場所）が、その DS レコード を親ゾーン（たとえば .com）へ公開します。

レジストラの DS レコードは、信頼の連鎖をつなぐ環です。Cloudflare がいくら署名しても、対応する DS レコードがレジストラに登録されるまで、広いインターネットにはその署名を署名済みとして信頼する手段がありません。つまり作業は 2 段階です。Cloudflare で有効にし、次に DS レコードをレジストラに渡します。

実際のリスク — 慎重に行ってください

DNSSEC は、誤って設定するとドメイン全体をオフラインにしかねません。それが起こる 2 つの経路は次のとおりです。

• DNS ホストが実際に署名に使っているものと 一致しない DS レコードをレジストラに公開する。
• レジストラの DS レコードを 先に削除せずに、DNS を別のホストへ移す（または Cloudflare をオフにする）。古い DS レコードが、もはや存在しない署名を要求し続け、名前解決が失敗し始めます。

以下の流れを順番どおりに行い、Cloudflare が署名ホストである間はレジストラの DS レコードを決して削除しなければ、どちらも危険ではありません。Cloudflare から離れる予定があるなら、まず DNSSEC を無効にしてレジストラの DS レコードを削除し、それから移行してください。

まず Cloudflare が DNS を運用しているか確認する

これが機能するのは、Cloudflare があなたのドメインの DNS に応答している場合だけです。Cloudflare はあなたの DNS ホストであり、必ずしもドメインを購入した会社とは限りません。Cloudflare の DNS が有効になるのは、ドメインの ネームサーバー がダッシュボードに表示される Cloudflare のネームサーバーを指している場合のみです。Cloudflare で自社ドメインを開き、Overview（概要）ページで Cloudflare が有効になっていることを確認してください。ネームサーバーが別の場所を指している場合は、実際に DNS を運用しているプロバイダー側で DNSSEC を有効にしてください。

Cloudflare での手順

1. Cloudflare にサインインし、自社ドメインを選択します。
2. 左側のメニューで DNS、次に Settings（設定）に移動します（古いダッシュボードでは DNS のすぐ下に DNSSEC セクションが表示されます）。
3. DNSSEC を見つけ、Enable DNSSEC（DNSSEC を有効にする）をクリックします。
4. Cloudflare が値のパネルを表示します。重要なのは DS レコード です。通常、Key Tag、Algorithm、Digest Type、Digest といったフィールドと、すぐ使える 1 行の DS レコード が表示されます。このパネルは開いたままにしておきます。これらをレジストラにコピーする必要があります。
5. 次に、レジストラ（ドメインを更新している会社。Cloudflare の場合もそうでない場合もあります）にサインインします。
6. レジストラ側で、自社ドメインの DNSSEC または DS レコードのセクションを見つけ、Cloudflare が示した値をそのまま使って新しい DS レコードを追加します。
   • Key Tag — Cloudflare が表示する番号。
   • Algorithm — 通常 13（ECDSA P-256 SHA-256）。
   • Digest Type — 通常 2（SHA-256）。
   • Digest — 長い 16 進数の文字列。正確にコピーします。
7. レジストラ側で保存します。レジストラが個別のフィールドではなく結合された 1 行の DS レコードを貼り付けられる場合は、Cloudflare が表示した完全な DS 行を使ってください。
8. Cloudflare に戻り、レジストラが DS レコードを受理すると、Cloudflare の DNSSEC ステータスが active（有効）に変わります（確認まで少し時間がかかることがあります）。

Cloudflare でよくある間違い

• 1 つではなく 2 つのシステムです。 Cloudflare で DNSSEC を有効にするだけでは、それ単独では何も起きません。DS レコードをレジストラにも登録する必要があります。手順 3 で止めてしまい、なぜ有効にならないのか悩む人が多いのです。
• ダイジェストを正確にコピーします。 Digest に 1 文字でも誤りや欠落があると、レジストラの DS レコードが Cloudflare の署名と一致しません。これがまさにドメインをオフラインにする設定ミスです。コピー＆ペーストし、決して打ち直さないでください。
• アルゴリズムとダイジェストタイプの番号を一致させます。 レジストラがこれらを個別に求める場合は、Cloudflare が示す値を使ってください。推測しないでください。
• Cloudflare がレジストラも兼ねている場合、DS の手順は内部で処理され、別のレジストラ用フォームが表示されないことがあります。ただし、完了とみなす前に DNSSEC が active と表示されていることを確認してください。
• Cloudflare が署名している間は DS レコードを決して削除しないでください。 また、DNS を Cloudflare から移行する場合は、移行前に DNSSEC を無効にし、レジストラの DS レコードを消去してください。
• 反映には時間を見込みます。 DNSSEC の変更は、完全に反映されて active と表示されるまで数分から 1 日かかることがあります。

設定できたか確認する

Cloudflare で DNSSEC が active と表示され、レジストラに DS レコードが設定されたら、このサイトの無料チェックを実行してください。DNSSEC が自社ドメインに対して正しく公開され、信頼されているかを、分かりやすい言葉で教えてくれます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。