Defaults.Exposed › 設定 › DNSSEC

Namecheap で DNSSEC を設定する方法

Namecheap で DNSSEC を有効にし、誰にも DNS の応答を偽造させて訪問者やメールをリダイレクトされないようにします。

これがビジネスにとって重要な理由

誰かがあなたのサイトを開いたりメールを送ったりするたびに、その人のコンピューターは DNS システムにあなたの場所を問い合わせます。この応答は通常署名されずに送られるため、名前解決に干渉できる攻撃者は、あなたの訪問者をひそかに偽サイトへ送ったり、メールを自分のサーバーへ転送したりできます。その間ずっと、アドレスバーには本物のドメインが表示されたままです。

DNSSEC はその入口を閉ざします。DNS の応答を暗号的に署名するため、あなたを調べる側は、その応答が本当にあなたから来たもので、途中で改ざんされていないことを確認できます。平たく言えば、自分のドメインをお客様に向ける武器に変えてしまう攻撃、すなわちドメイン乗っ取りやキャッシュポイズニングを防ぎます。無料で、Namecheap が DNS を運用している場合はほぼワンクリックです。

DNSSEC の仕組み（と Namecheap がシンプルになり得る理由）

DNSSEC には 2 つの半分があります。DNS ホストがレコードに署名し、鍵（DNSKEY）と小さな指紋である DS レコード を公開します。そしてレジストラがその DS レコード を親ゾーンに登録し、インターネットの他の部分が署名を信頼できるようにします。

Namecheap がレジストラと DNS ホストの 両方 である場合、つまりドメインが Namecheap BasicDNS / PremiumDNS を使っている場合、Namecheap は 1 つのトグルで両方の半分を処理します。ゾーンに署名し、DS レコードを連鎖の上位へ公開してくれます。DNS が別の場所でホストされている場合は、そのホストの DS レコードを手作業で Namecheap にコピーします。

実際のリスク — 順番どおりに行ってください

DNSSEC は、誤って設定するとドメインをオフラインにしかねません。それが起こる 2 つの経路は次のとおりです。

• DNS ホストが実際に署名に使っているものと 一致しない DS レコードがレジストラに登録される。
• DS レコードを 先に削除せずに、DNS を別のホストへ移す（または署名をオフにする）。古い DS レコードが、もはや存在しない署名を要求し続け、名前解決が失敗します。

つまり、DNS を Namecheap から、または Namecheap のネームサーバーから移す場合は、まず DNSSEC を無効にして DS レコードを消去し、それから移行してください。 以下の流れを順番どおりに行えば安全です。

まず Namecheap が DNS を運用しているか確認する

何があなたのドメインの DNS に応答しているか確認してください。Namecheap アカウントでドメインを開き、Domain タブの Nameservers（ネームサーバー）設定を見ます。

• Namecheap BasicDNS または Namecheap Web Hosting DNS / PremiumDNS に設定されていれば、Namecheap が DNS をホストしています。ワンクリックの流れを使ってください。
• 別のプロバイダーを指す Custom DNS が表示されている場合、そのプロバイダーが DNS をホストしています。そこで先に DNSSEC を有効にし、得られた DS レコードを Namecheap に追加してください。

Namecheap での手順（Namecheap がレジストラ兼 DNS ホストの場合）

1. Namecheap にサインインします。
2. Domain List に移動し、自社ドメインの横の Manage をクリックします。
3. Advanced DNS タブを開きます。
4. DNSSEC セクションまでスクロールします。
5. DNSSEC を on に切り替えます。
6. 確認します。Namecheap 自身の DNS を使っていれば、Namecheap がゾーンに署名し、DS レコードを連鎖の上位へ公開してくれます。どこかにコピーするものはありません。

DNS を別の場所でホストしている場合の手順

Namecheap がレジストラで、別の会社が DNS をホストしている場合：

1. まず DNS ホスト 側で DNSSEC を有効にし、生成された DS レコード の値をコピーします。通常は Key Tag、Algorithm、Digest Type、Digest です。
2. Namecheap でドメインを開き、Advanced DNS タブ、次に DNSSEC セクションに移動します。
3. DS レコードを追加し、DNS ホストの値を対応するフィールドに正確に入力します。
4. 保存します。DS レコードが親ゾーンに登録され、信頼の連鎖が完成します。

Namecheap でよくある間違い

• トグルがすべてを行うのは、Namecheap が DNS もホストしている場合だけです。 Custom DNS では、トグルを入れるだけでは不十分です。実際の DNS ホストの DS レコードを貼り付ける必要があります。
• 二重に署名しないでください。 外部の DNS ホストがすでにゾーンに署名しているなら、その DS レコードを Namecheap に入力するだけにします。Namecheap 自身の署名も有効にしてはいけません。
• DS の値を 1 文字ずつコピーします。 Digest に 1 桁でも誤りがあると DS が署名と一致しません。これがまさにドメインをオフラインにする原因です。貼り付けて、決して打ち直さないでください。
• アルゴリズムとダイジェストタイプの番号 を、DNS ホストが報告するものに合わせてください。推測しないでください。
• ネームサーバーを変更する前に DNSSEC を無効にします。 古い DS レコードが残ったまま DNS ホストを切り替えるのは、ドメインをオフラインにする典型的な手口です。
• 反映には時間を見込みます。 変更は完全に反映されるまで数分から 1 日かかることがあります。

設定できたか確認する

DNSSEC をオンにし（必要なら DS レコードを設定し）たら、このサイトの無料チェックを実行してください。DNSSEC が自社ドメインに対して正しく公開され、信頼されているかを、分かりやすい言葉で教えてくれます。

完了しましたか？ ドメインを無料でチェック して、正しく反映されたか確認しましょう。34項目すべてにわたる総合評価も見られます。