Amazon Route 53でDNSSECが有効になった

Amazon Route 53に対応したDNSSECが新しく発表されました。

DNSSEC(ドメインネームシステムセキュリティ拡張機能)とは

DNS応答が正しいサーバーから応答されているか検証する仕組みです。
DNSSECを利用することで受け取ったDNSデータの正当性を確認し、DNSキャッシュポイズニング攻撃を防ぐことが可能になります。

Amazon Route 53に対応したDNSSEC

Route 53リゾルバでDNSSEC署名を検証すること、ホストゾーンに対してDNSSEC署名すること、両方とも対応しています。

  • Route 53リゾルバでDNSSEC署名を検証
    DNSSEC署名により、DNSリゾルバーは、DNS応答がAmazon Route 53からのものであり改竄されていないことを検証できます。 DNSSEC署名を使用する場合、ホストゾーンのすべての応答は公開鍵暗号を使用して署名されます。

  • ホストゾーンに対してDNSSEC署名
    ホストゾーンでDNSSEC署名を有効にすると、Route 53はそのホストゾーンの各レコードに暗号で署名します。

VPCにおいてもDNSSEC 検証を有効にするとでDNS応答が転送中に改ざんされていないことが保証されます。

DNSSEC署名を有効にする

DNSSEC署名を有効にするには、二つの手順があります。

  1. Route 53のDNSSEC署名を有効にし署名キー(KSK)を作成するようにリクエスト

  2. 親ゾーンにDSレコードを追加してホストゾーンの信頼チェーンを作成


*VPCのDNSSEC検証を有効にするには

  1. AWSマネジメントコンソールにサインインし、Route53コンソールを開く

  2. 左のナビゲーションの[リゾルバー]で、[VPC]を選択

  3. [VPC名]列で、VPCを選択

  4. DNSSEC検証で、チェックボックスにチェックをいれる

トラブルシューティング

発生する可能性のある問題と対処法です。

  • ゾーンが停止しドメインが使用できなくなる

→ CloudWatchアラームの設定
DNSSECInternalFailureまたはDNSSECKeySigningKeysNeedingActionエラーが検出されるとアラームを出す設定にすることでDNSSECエラーにすばやく対処することができるようになります