DNSSECチェッカー
ドメインのDS・DNSKEYの有無と、検証リゾルバによる署名検証(ADビット)を確認します。
このDNSSECチェッカーについて
DNSSECはDNSに電子署名を加え、偽造や改ざんされた応答をリゾルバが検出できるようにする仕組みです。このツールはDNS-over-HTTPSでドメインの DS・DNSKEY レコードを照会し、検証リゾルバが立てる AD(Authenticated Data)フラグ を読み取ります。そこから、ゾーンが署名済みか、現在検証が成功しているかを判定します。
- DNSKEY — ゾーン自身に公開された公開鍵。
- DS — ゾーンの鍵のダイジェストで、親ゾーンに公開され、ルートからドメインまでの信頼の連鎖をつなぎます。
- ADフラグ — 検証リゾルバ(ここではCloudflareの
1.1.1.1)が応答の認証に成功したときに立てます。
ドメインが正しく保護されるのは、DNSKEYがありかつ親に対応するDSがあって信頼の連鎖が途切れていない場合だけです。関連記事: DNSSEC解説。
よくある質問
DNSKEYはあるのにDSがありません。保護されていますか?
完全ではありません。親ゾーンにDSレコード(レジストラへ登録)がないと、リゾルバは鍵までの信頼の連鎖を構築できず、署名が端から端まで検証されません。レジストラでDSを登録してDNSSECを完成させてください。
DNSSECはDNSクエリを暗号化しますか?
いいえ。DNSSECは完全性と真正性(応答が本物で改ざんされていないこと)を提供しますが、機密性は提供しません。クエリ自体の秘匿にはDNS-over-HTTPSやDNS-over-TLSが必要です。
署名済みのドメインが「未認証」と出るのはなぜですか?
署名(RRSIG)の期限切れ、親のDSの欠落や不一致、時刻ずれなどはいずれも検証を壊します。その場合、検証リゾルバはADフラグではなくSERVFAILを返します。