DNSSECを有効にする方法

Unbound: DNSSECを有効にする方法


By W.C.A. Wijngaards, NLnet Labs, August 2010.

DNSSECはDNSのデータを保護するため仕組みです。デジタル署名を使っています。
DNSSECを利用するためには公開鍵の設定が必要です。以下で説明します。

以下に示すのはルートゾーンの2010年のトラストアンカーです。
信頼されたコミュニティの代表者が認証したルートアンカーを検証してください。
そのうちの一つはここにあります(PGP鍵により署名されている): Olaf KolkmanによるDNSSECのルート鍵の宣言
(PGPとHTTPS)で安全なiana websiteから公開されているルート鍵をダウンロードすることもできます。

訳注:ここからはUnbound 1.4.6以前の場合です。

次のような内容を(1行で)記述したファイル/etc/unbound/root.keyを作成します。Unboundがそのファイルを読み書きできるようにし、最新の鍵に常に保つようにしてください。unboundデーモンがアクセスできれば、そのファイルをどこに置いてもかまいません。デーモンが/var/unboundあるいは/usr/local/etc/unboundから起動するのであれば、そこに置いてもよいでしょう。

. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2CE1CDDE32F24E8FB5

訳注:ここからはUnbound 1.4.7以降の場合です。

訳者追記:Unbound 1.4.7以降では次のようにunbound-anchorコマンドを使ってルートゾーンのトラストアンカーを取得してroot.keyファイルを生成できます。Unboundデーモンがそのファイルを読み書きできるようにファイルの生成後にファイルの所有者を変更してください。

# unbound-anchor -a "/etc/unbound/root.key"
# chown unbound:unbound /etc/unbound/root.key

訳注:以降、共通。

設定ファイルに、次のように自動更新されるアンカーの設定にルートアンカーファイルを含めてください。

server:
	# chroot disabled here as example, to make pathnames work
	chroot: ""
	directory: "/etc/unbound"

	# root key file, automatically updated
	auto-trust-anchor-file: "/etc/unbound/root.key"

設定を変更したら、unboundを再起動します。unboundは(鍵が見つかった最新時刻のような)状態の情報と共に鍵ファイルを上書きします。長い間(数ヶ月のオフライン)接続していなければ、RFC5011 rollover tracking standardは機能しないでしょう。

それからdig . SOA +dnssecを実行したら、結果の出力にADフラグが見えるはずです。

この文章はUnbound: Howto enable DNSSEC (www.unbound.net)の翻訳です。[翻訳: 滝澤 隆史]