DNSSECの概要

Junos OSデバイスは、ドメインネームサービスセキュリティ拡張(DNSSEC)標準をサポートしています。DNSSECはDNSの拡張機能であり、公開キーベースの署名を使用してデータの認証と整合性検証を提供します。

DNSSEC では、DNS 内のすべてのリソース レコードはゾーン所有者のプライベート キーで署名されます。DNSリゾルバーは、所有者の公開キーを使用して署名を検証します。ゾーン所有者は、一連のリソースレコードのハッシュを暗号化するための秘密キーを生成します。秘密鍵はRRSIGレコードに保存されます。対応する公開キーはDNSKEYレコードに保存されます。リゾルバーは、公開キーを使用してRRSIGを復号化し、その結果をリソースレコードのハッシュと比較して、変更されていないことを確認します。

同様に、公開DNSKEYのハッシュは、親ゾーンのDSレコードに格納されます。ゾーン所有者は、公開キーのハッシュを暗号化するためのプライベートキーを生成します。秘密鍵は RRSIG レコードに保管されます。リゾルバーは、DS レコードとそれに対応する RRSIG レコードおよび公開鍵を取得します。リゾルバーは、公開鍵を使用してRRSIGレコードを復号化し、その結果を公開DNSKEYのハッシュと比較して、変更されていないことを確認します。これにより、リゾルバーとネームサーバーの間に信頼の連鎖が確立されます。