ユニバーサルDNSSEC

DNSの脆弱性からお客様のドメインを無料で保護します

DNSSECによって、DNSの信頼性と完全性が向上します。インターネットの電話帳とも呼ばれるDNSは、ドメイン名を数字のインターネットアドレスに変換します。しかし、DNSは基本的にセキュリティーで保護されていないプロトコルです。DNSレコードの発信元を保証するものではなく、与えられたアドレスを問答無用で受け入れます。

Cloudflareが提供するDNSSECは使いやすく、設定にかかる時間はわずか数分です。

DNSSECとは?

DNSSECは、暗号署名を使用してDNSレコードを検証することで、他の安全でないプロトコルにセキュリティ層を追加します。レコードに関連付けられた署名をチェックすることで、DNSリゾルバーは、リクエストされた情報が信頼できるネームサーバーから送信されたものであって、中間者攻撃によるものではないことを確認できます。DNSSECを使用すると、お客様のドメインを訪問したユーザーは、他の誰かのWebサーバーではなく、確実にお客様のWebサイトのコンテンツを閲覧することが保証されます。

詳しくはDNSSECの仕組みをご覧ください。

なぜDNSSECが重要なのか?

DNSキャッシュポイズニングと応答偽造は、DNSが始まった当初から、グローバルなDNSインフラストラクチャにおける既知の脆弱性であり、例えば、有名なものにカミンスキー攻撃があります。キャッシュポイズニングは、攻撃者がDNSネームサーバーを侵害して不正なレコードを保存することで発生します。キャッシュエントリの期限が切れるまで、そのネームサーバーは、要求してきたすべてのユーザーに、偽のDNSレコードを返します。

これにより、攻撃者はあなたのWebサイトへのトラフィックを乗っ取ることができます。ユーザーがWebブラウザにお客様のドメインを入力すると、お客様のWebサイトに誘導する代わりに、違いに気付くことなく他の何者かのサーバーにルーティングされます。攻撃者は、乗っ取ったDNSを利用して、フィッシング詐欺、迷惑広告の配信、Webトラフィックの監視、特定ドメインへのアクセスの遮断などを行うことができます。

お客様のWebサイトの整合性と評判を気にされるのであれば、DNSSECを気にする必要があります。

ユニバーサルDNSSECの導入

DNSSECは、暗号署名を使用してDNSレコードを検証することで、他の安全でないプロトコルにセキュリティ層を追加します。レコードに関連付けられた署名をチェックすることで、DNSリゾルバーは、リクエストされた情報が信頼できるネームサーバーから送信されたものであって、中間者攻撃によるものではないことを確認できます。DNSSECを使用すると、お客様のドメインを訪問したユーザーは、他の誰かのWebサーバーではなく、確実にお客様のWebサイトのコンテンツを閲覧することが保証されます。

ユニバーサルDNSSECを利用することで、お客様のWebプロパティは以下のような恩恵を受けることができます:

  • DNSの中間者攻撃からの保護
  • DNSゾーン列挙からの保護
  • .bank、.trust、.govのTLDの要件を満たすための、使いやすいソリューション

DNSSECは、ルートDNSネームサーバーまでの信頼チェーンを確立することで、中間者攻撃を防止しています。この信頼チェーンによって、訪問者が要求したDNSレコードが途中で改ざんされていないことが保証されます。

Cloudflare独自のDNSSEC実装は、 楕円曲線暗号 を利用して、攻撃者がゾーンウォーキングを通してプライベートDNSレコードを発見することを防止します。

.bankや.trustなどのトップレベルドメイン(TLD)は、 訪問者に信頼を伝搬するために設計されています。これは、ドメインの所有者が、DNSSECを含む様々なセキュリティプロトコルに従うことを要求することによって実現されています。DNSSECをお客様自身で実装するのは難しく、エラーが起こりやすいプロセスです。Cloudflareを使用すると、わずか数回のクリックでDNSSECの要件を満たすことができます。

DNSSECの大規模化

Cloudflareは、DNSSECによって1日に数十億のリクエストを保護しています。これは、毎週、何億人もの人々をDNSキャッシュポイズニングや中間者攻撃から守っていることになります。

ユニバーサルDNSSECは、世界最大規模のDDoS攻撃にも耐えてきたCloudflareネットワークの上に構築されています。私たちは、DNSSECの実装がDDoS増幅攻撃に悪用されないよう、特別な予防措置も講じています。Webサイトが被攻撃下にあっても、訪問者はDNSレコードを迅速かつ効率的に受け取ることができるため、ご安心いただけます。

Cloudflareは、Montecito Bank & Trust社のドメイン保護と.bankに拡張するための要件達成の支援活動を行いました。詳細については、ケーススタディをお読みください。

CloudflareでDNSSECを簡単に

この度、ユニバーサルDNSSECはCloudflare上のすべてのWebサイトで無料で利用できるようになりました。お客様のゾーンの署名や鍵の管理などの面倒な作業はすべて当社が行います。たった数回クリックするだけでDNSの偽造からお客様のドメインを保護します。お客様が行う作業は、CloudflareダッシュボードでDNSSECを有効にし、レジストラにDNSレコードを1つ追加するだけです。

  1. Cloudflareダッシュボードにログインします。
  2. DNSアプリを開きます。
  3. DNSSECモジュールまで下にスクロールします。
  4. 「DNSSECを有効にする]をクリックします。
  5. レジストラにDSレコードを追加する方法が表示されたポップアップが開きます。
  6. DSレコードをコピーして、レジストラのダッシュボードに貼り付けます。設定

レジストラがDSレコードを公開すると、お客様のドメインはDNSSECに対応することになります。DNSSECの設定は、サードパーティ製のDNSVizツールで確認することができます。

ユニバーサルDNSSECは、ユニバーサルSSL、グローバルCDN、Webコンテンツの自動最適化など、他のすべてのCloudflareセキュリティおよびパフォーマンス機能とシームレスに動作するように設計されています。

Cloudflareの設定は簡単です



ドメインの設定にかかる時間は5分未満です。ホスティングプロバイダーを引き続きご利用いただけます。コード変更は必要はありません。


何百万ものインターネットプロパティからの信頼