DNSSECは、暗号署名を使用してDNSレコードを検証することで、他の安全でないプロトコルにセキュリティ層を追加します。レコードに関連付けられた署名をチェックすることで、DNSリゾルバーは、リクエストされた情報が信頼できるネームサーバーから送信されたものであって、中間者攻撃によるものではないことを確認できます。DNSSECを使用すると、お客様のドメインを訪問したユーザーは、他の誰かのWebサーバーではなく、確実にお客様のWebサイトのコンテンツを閲覧することが保証されます。
詳しくはDNSSECの仕組みをご覧ください。
DNSキャッシュポイズニングと応答偽造は、DNSが始まった当初から、グローバルなDNSインフラストラクチャにおける既知の脆弱性であり、例えば、有名なものにカミンスキー攻撃があります。キャッシュポイズニングは、攻撃者がDNSネームサーバーを侵害して不正なレコードを保存することで発生します。キャッシュエントリの期限が切れるまで、そのネームサーバーは、要求してきたすべてのユーザーに、偽のDNSレコードを返します。
これにより、攻撃者はあなたのWebサイトへのトラフィックを乗っ取ることができます。ユーザーがWebブラウザにお客様のドメインを入力すると、お客様のWebサイトに誘導する代わりに、違いに気付くことなく他の何者かのサーバーにルーティングされます。攻撃者は、乗っ取ったDNSを利用して、フィッシング詐欺、迷惑広告の配信、Webトラフィックの監視、特定ドメインへのアクセスの遮断などを行うことができます。
お客様のWebサイトの整合性と評判を気にされるのであれば、DNSSECを気にする必要があります。
DNSSECは、暗号署名を使用してDNSレコードを検証することで、他の安全でないプロトコルにセキュリティ層を追加します。レコードに関連付けられた署名をチェックすることで、DNSリゾルバーは、リクエストされた情報が信頼できるネームサーバーから送信されたものであって、中間者攻撃によるものではないことを確認できます。DNSSECを使用すると、お客様のドメインを訪問したユーザーは、他の誰かのWebサーバーではなく、確実にお客様のWebサイトのコンテンツを閲覧することが保証されます。
ユニバーサルDNSSECを利用することで、お客様のWebプロパティは以下のような恩恵を受けることができます:
DNSの中間者攻撃からの保護
DNSゾーン列挙からの保護
.bank、.trust、.govのTLDの要件を満たすための、使いやすいソリューション
DNSSECは、ルートDNSネームサーバーまでの信頼チェーンを確立することで、中間者攻撃を防止しています。この信頼チェーンによって、訪問者が要求したDNSレコードが途中で改ざんされていないことが保証されます。
Cloudflare独自のDNSSEC実装は、
楕円曲線暗号