IIJにおけるDNSSEC独自開発の話

2011/10/5-3

IIJで、「独自開発によるDNSSECの実現」という記事が公開されています。 非常に面白い記事だったので、お勧めです。

記事の概要は、以下のように述べられています。

DNSに対するセキュリティ機能の拡張であるDNSSECは、近年になって導入が開始されるようになったものの、実装がそろっていないため普及が遅れています。そこで、IIJでは、DNSSEC実現のためのすべての処理を独自に実装することに。特別な知識がなくても、ご利用のドメインをDNSSEC対応にすることを可能にしました。 ここでは、DNSSEC実現のための処理を独自開発した経緯を紹介します。

本文では、最初に安全なDNSサービスが何故必要であるかとともに、IIJが提供しているDNSSEC対応サービスである「IIJ DNSアウトソースサービス」を実現するために独自開発を行った経緯(背景)が紹介されています。

「規格があっても完全な実装が存在しないDNSSEC」という章では、DNSSEC運用では通常のDNSサーバ運用に加えて以下の対応が必要としています。

  • リソースレコードの署名
  • 鍵の管理(定期的な更新、無効化等)
  • レジストラへのDSレコードの登録

そのうえで、以下のように書かれています。 「(できると断言する運用担当者を信用してはいけません!)」というのがウケマシタ。

個々の対応はDNSSECに精通していれば、できないものではありません。しかし、DNSSECの怖いところは、手順をひとつ誤れば、正規のリソースレコードであっても偽情報扱いされてそのリソースレコードが参照できなくなるということです。それはWebサーバへアクセスできなくなり、メールサーバへメールが届かなくなるということです。それもリソースレコードを編集しても署名を更新しなかった、鍵の有効期限が切れたのに更新しなかった、レジストラへ誤ったDSレコードを渡してしまった等々、いかにもミスを誘う作業ばかりです。とてもではありませんが、手作業でできるものではありません(できると断言する運用担当者を信用してはいけません!)。しかも、完全に自動化できるソフトウェアはまだありません。

さらに、以下のように独自実装が行われたことや、その苦労について述べられています。

結局、私たちはDNSSEC実現のため、すべての処理を独自に実装することに決めました。これにより、お客様が「IIJサービスオンライン」(IIJの法人サービスをご契約のお客様の専用ページ)から「DNSSECを利用する」にチェックを入れるだけで、DNSSECを利用できるようになりました。その裏でどんな苦労があるのか、これほどまでに知ってもらいたいと思ったサービスはありません!

最後に、「DNSSEC検証には未対応?」という章では、IIJでDNSSECの検証を行う参照用DNSサーバが提供されていないことや、その理由が紹介されています。

このように実際に取り組みを行われている方々による情報は非常に重要だと思いました。

最近のエントリ

過去記事

過去記事一覧

IPv6基礎検定

YouTubeチャンネルやってます!