ルートDNSゾーンには、トップレベルドメイン(TLD)のネームサーバー(.com、.edu、.org、など)に問い合わせる方法に関する情報が含まれています。これにより、インターネットユーザーが.softwareや.bankのような真新しいものも含め、すべてのTLDのドメイン名にアクセスすることができ、グローバル・インターネットに不可欠な存在となっています。
DNSSECの仕組みで、DNSSECにおける信頼が親ゾーンのDSリソースレコードに由来することを説明しました。しかし、ルートDNSゾーンには親がいないため、その情報の完全性と信頼性をどのように信頼すればよいのでしょうか?
写真提供:IANA
ルート署名セレモニーは、ルートDNSゾーンの公開鍵情報に今後数か月間有効な署名を行うという厳格な手続きであり、その目的はここにあります。このプロセスで使用される秘密署名鍵は、文字通りDNSSECで保護されたインターネット全体の鍵になります。DNSSECがグローバルスタンダードとして成功するためには、この鍵にアクセスするための公開、監査、および厳重な管理体制が必要です。
今年8月のセレモニーには、Cloudflareのエンジニアリングマネージャーであり、ICANNの暗号担当者でもあるÓlafur Guðmundsson氏が参加しました。これは、ルート署名セレモニーを振り返った彼の感想です。
dig .dnskey +dnssec
. 20868 IN DNSKEY 257 3 8 AwEAAagAIKlVZrpC6Ia7gEzahOR+9W29euxhJhVVLOyQbSEW0O8gcCjF FVQUTf6v58fLjwBd0YI0EzrAcQqBGCzh/RStIoO8g0NfnfL2MTJRkxoX bfDaUeVPQuYEhg37NZWAJQ9VnMVDxP/VHL496M/QZxkjf5/Efucp2gaD X6RS6CXpoY68LsvPVjR0ZSwzz1apAzvN9dlzEheX7ICJBBtuA6G3LQpz W5hOA2hzCTMjJPJ8LbqF6dsV6DoBQzgul0sGIcGOYl7OyQdXfZ57relS Qageu+ipAdTTJ25AsRTAoub8ONGcLmqrAmRLKBP1dfwhYB4N7knNnulq QxA+Uk1ihz0=
. 20868 IN DNSKEY 256 3 8 AwEAAa67bQck1JjopOOFc+iMISFcp/osWrEst2wbKbuQSUWu77QC9UHL ipiHgWN7JlqVAEjKITZz49hhkLmOpmLK55pTq+RD2kwoyNWk9cvpc+tS nIxT7i93O+3oVeLYjMWrkDAz7K45rObbHDuSBwYZKrcSIUCZnCpNMUtn PFl/04cb
. 20868 IN RRSIG DNSKEY 8 0 172800 20150913235959 20150830000000 19036 . QKU/YSUHNXa0coshORV2r8o0PWZ43dn/u1ml4DglqLXTi2WJh+OyMFgi w4Xc7cF4T8Eab5TLbwqDHOrE87fmvcdSgQQOVwYN6jwStHAliuEICs6X rd+sqanyyMpaynLI630k5PuuQVOWxHn/Hyn4yFN5MJoQG9Pz+gn8FjCB oNGs0vu1TQm2m6DSGfjRTd7tRIchXAbOUvEVVnDWaTNPX3c35xqoHlUZ Ta00N9FvKqEwZDjdR1e0BCaDLL/Pk+CRygzOyfSKiuULzKEecsp3jPYY nXfKZmTuMuaQNRmcyJD+WSFwi5XyRgqrnxWUYmFcum4zw1NXdyp0mlGO slQ6NQ==
ルート署名セレモニーは、ルートDNSのネームサーバーをトラストアンカーに変化させます。信頼は親ゾーンから得られるのではなく、信頼と見なされます。このセレモニーは、その信頼関係を高めるために行われます。「これに署名している人物らを信頼できるから、ルートDNSサーバーを信頼できる」といったものであるため、これはインターネットを安全にするための非常に人間的な側面と言えます。加えて、署名する人物らを信頼できる理由は、署名する際に厳格なプロトコルを守っているからです。これが「ルート署名セレモニー」です。
ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利用いただけます。コード変更は必要はありません。