Defaults.Exposed › 設定 › DNSSEC

GoDaddy で DNSSEC を設定する方法

GoDaddy では 1 つのスイッチで DNSSEC を有効にし、誰にも DNS の応答を偽造させてドメインを乗っ取られないようにします。

これがビジネスにとって重要な理由

誰かがあなたのサイトを訪れたりメールを送ったりすると、その人のコンピューターはまず DNS システムに正しいアドレスを問い合わせます。この応答は通常署名されずに送られるため、名前解決を改ざんできる攻撃者は、あなたの訪問者をひそかに偽サイトへ送ったり、メールを自分のサーバーへ転送したりできます。その間も、アドレスバーには本物のドメインが表示されたままです。

DNSSEC はそれを止めます。DNS の応答を暗号的に署名するため、あなたを調べる側は、その応答が本当にあなたから来たもので、転送中に改ざんされていないことを証明できます。平たく言えば、自分のドメインをお客様に向ける武器に変えてしまう攻撃、すなわちドメイン乗っ取りやキャッシュポイズニングを防ぎます。無料で、GoDaddy では通常 1 つのスイッチで済みます。

DNSSEC の仕組み（と GoDaddy が簡単な理由）

DNSSEC には 2 つの半分があります。DNS ホストがレコードに署名し、鍵（DNSKEY）と小さな指紋である DS レコード を公開します。そしてレジストラがその DS レコード を親ゾーンに登録し、インターネットの他の部分が署名を信頼できるようにします。

GoDaddy のネームサーバーを使うほとんどの GoDaddy ドメインのように、GoDaddy がレジストラと DNS ホストの 両方 である場合、GoDaddy が両方の半分をあなたに代わって行います。スイッチを 1 つ入れれば、GoDaddy が鍵を生成し、DS レコードを連鎖の上位へ自動的に登録します。システム間で値をコピーする必要はありません。

実際のリスク — そう単純でない場合

DNSSEC は、誤って設定するとドメインをオフラインにしかねません。危険が生じるのは主に、レジストラと DNS ホストが 別々 の会社である場合や、DNS ホストを移す場合です。

• ドメインが GoDaddy で登録されているが DNS は別の場所でホストされている場合、GoDaddy のワンクリックのスイッチは適用されません。実際の DNS ホスト側で署名を有効にし、DS レコードを手作業で GoDaddy に追加する必要があります。
• DNS を GoDaddy から移す場合は、まず DNSSEC をオフにしてください。 どの稼働中の署名ホストとも一致しなくなった DS レコードが残ると、名前解決が失敗し、ドメインが暗転します。

GoDaddy がレジストラと DNS ホストの両方であれば、以下のワンクリックの流れは安全です。

まず GoDaddy が DNS を運用しているか確認する

これが意味を持つのは、GoDaddy が実際にあなたのドメインの DNS に応答している場合だけです。自社ドメインが GoDaddy のネームサーバー を使っているか確認してください。GoDaddy アカウントでドメインを開き、その Nameservers（ネームサーバー）設定を見ます。GoDaddy 自身のネームサーバーが表示されていれば、ワンクリックのスイッチが正しい道です。ネームサーバーが別のプロバイダー（たとえば別の DNS ホスト）を指している場合は、そのプロバイダー側で DNSSEC を有効にし、そこで得た DS レコードを GoDaddy に追加してください。

GoDaddy での手順（ワンクリック、GoDaddy がレジストラ兼 DNS ホストの場合）

1. GoDaddy アカウントにサインインします。
2. My Products（または Domain Portfolio）に移動します。
3. 自社ドメインを見つけ、その管理ページを開きます。ドメイン名または 3 点メニューをクリックし、Manage DNS / Domain Settings を選びます。
4. Additional Settings（追加設定）セクションまでスクロールします（アカウントによっては DNS Management の下に表示されます）。
5. DNSSEC を見つけ、Manage またはトグルをクリックします。
6. DNSSEC を on に切り替えます。
7. 確認します。GoDaddy が鍵を生成し、ゾーンに署名し、DS レコードを連鎖の上位へ公開してくれます。どこかにコピーするものはありません。

DNS を別の場所でホストしている場合の手順

GoDaddy がレジストラだけで、別の会社が DNS をホストしている場合：

1. まず DNS ホスト 側で DNSSEC を有効にし、生成された DS レコード をコピーします（Key Tag、Algorithm、Digest Type、Digest が必要です）。
2. GoDaddy でドメインを開き、Additional Settings の下の DNSSEC セクションを見つけます。
3. DS レコードを 追加 することを選び、DNS ホストの値を正確に入力します。
4. 保存します。DS レコードが親ゾーンに登録され、連鎖が完成します。

GoDaddy でよくある間違い

• まず誰が DNS をホストしているか確認します。 シンプルなワンクリックのスイッチが全工程を行うのは、GoDaddy がレジストラと DNS ホストの両方である場合だけです。DNS が別の場所にある場合、スイッチだけでは不十分です。
• 2 か所で有効にしないでください。 DNS ホストがすでにゾーンに署名しているなら、その DS レコードを GoDaddy に追加するだけにします。GoDaddy 自身の署名スイッチも入れてはいけません。さもないと、競合する 2 つの設定ができてしまいます。
• 手作業で入力するときは DS の値を正確にコピーします。 Digest に 1 文字でも誤りがあると連鎖が壊れ、ドメインがオフラインになることがあります。
• DNS を移す前に DNSSEC をオフにします。 古い DS レコードが残ったまま新しい DNS ホストへ移行するのは、ドメインをオフラインにする典型的な手口です。
• 反映には時間を見込みます。 変更は完全に反映されるまで数分から 1 日かかることがあります。

設定できたか確認する

DNSSEC をオンにし（必要なら DS レコードを設定し）たら、このサイトの無料チェックを実行してください。DNSSEC が自社ドメインに対して正しく公開され、信頼されているかを、分かりやすい言葉で教えてくれます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。