DNSSEC セキュリティを設定する

キャッシュ ポイズニング攻撃や DNS スプーフィングなどの脅威を防ぐために、Domain Name System Security Extensions(DNSSEC)は交換する情報の認証を行います。

ドメイン ネーム システム(DNS)は、人間が読み取れるドメイン名(google.com など)を、機械で読み取り可能な、ウェブサイトを指定する IP アドレス(172.217.3.206 など)に変換します。

このセキュリティ強化機能を使用するには、ドメイン名の DNSSEC を設定する必要があります。DNSSEC の設定を完了するには、次のことを行う必要があります。

  • DNSSEC 関連のリソース レコードを DNS または署名ゾーンに追加する。
  • ドメインの DNS リソース レコードを公開する。

これらの操作を行ったら、まず変更がインターネット上で更新されるのを待つ必要があります。この処理には最大で 24 時間かかることがあります。Google Domains の自動 DNSSEC 設定を利用する場合は、上記の 2 つの操作を Google がお客様に代わって行います。これには、更新の待ち時間も含まれます。

ドメインの DNSSEC を有効にする

ドメインの DNSSEC を有効にする方法は、ネームサーバーの管理方法によって異なります。

• Google Domains のネームサーバーを使用している場合

ヒント: 元々 Google Domains からドメイン名を購入した場合は、DNSSEC がすでに設定されている可能性があります。

  1. Google Domains にログインします。
  2. ドメイン名を選択します。
  3. 左上の [メニュー] 次に [DNS] の順に選択します。
  4. まだ選択されていない場合は、ページの上部にある [Google Domains(アクティブ)] を選択します。

ヒント: ページ上部で、[カスタム] の横に [Google Domains(アクティブ)] と表示されている場合は、Google Domains のデフォルトのネームサーバーを使用しています。

  1. [DNSSEC] カードまでスクロールします。

ヒント: DNSSEC がすでにオンになっている場合は、[DNSSEC が有効です] と表示されます。

  1. [オンにする] をクリックします。

DNSSEC をオンにすると、Google Domains によって DNS ゾーンが自動的に署名され、2 時間以内に DS レコードが公開されます。これらの変更がインターネット上で更新されると、ドメインは DNSSEC で保護されます。この処理には最大で 24 時間かかることがあります。

処理が完了するまで待てない場合は、[DNSSEC] カードを展開してボタンを使用します。たとえば、DS レコードが公開されるまで待てない場合は、[今すぐ DS レコードを公開] をクリックします。

• カスタム ネームサーバーを使用している場合

カスタム ネームサーバーを使用している場合は、サードパーティの DNS プロバイダと協力して、お使いのドメインの DNS ゾーンに署名する必要があります。DNSKEY ごとに、DNS プロバイダから次の値を取得します。

  • キータグ: 既存の DNSKEY レコードを参照する数値。
  • アルゴリズム: DNSKEY レコードでセキュリティ キーを生成する暗号化アルゴリズム。通常は RSA/SHA1 などのハッシュ関数とペアになります。
  • ダイジェスト タイプ: DNSKEY レコードのダイジェストを生成するアルゴリズム。ダイジェスト アルゴリズム、ダイジェスト ハッシュ、ダイジェスト ハッシュ関数とも呼ばれます。
  • ダイジェスト: キーの値を公開せずに DNSKEY レコードを一意に識別するハッシュ値。ダイジェスト タイプに基づいて、長さは次のいずれかになります。
    • SHA1 - 40 桁の 16 進数値
    • SHA256 - 64 桁の 16 進数値
    • SHA384 - 96 桁の 16 進数値

Google Domains で、各 DNSKEY レコードに対して少なくとも 1 つの Delegation Signer(DS)リソース レコードを作成します。

  1. Google Domains にログインします
  2. ドメイン名を選択します。
  3. 左上の [メニュー] 次に [DNS] の順に選択します。
  4. まだ選択されていない場合は、ページの上部にある [カスタム(アクティブ)] をクリックします。

ヒント: ページ上部で、[カスタム] の横に [Google Domains(アクティブ)] と表示されている場合は、Google Domains のデフォルトのネームサーバーを使用しています。

  1. [DNSSEC] ボックスまでスクロールします。
  2. [DS レコードを管理] を選択します。
  3. DNS プロバイダから取得した情報を入力します。複数のレコードを同時に追加するには、[新しいレコードを作成] をクリックします。
  4. 完了したら [保存] をクリックします。

ドメインの DNSSEC を無効にする

• Google Domains のネームサーバーを使用している場合

  1. Google Domains にログインします
  2. ドメイン名を選択します。
  3. 左上の [メニュー] 次に [DNS] の順に選択します。
  4. まだ選択されていない場合は、ページの上部にある [Google Domains(アクティブ)] をクリックします。

ヒント: ページ上部で、[カスタム] の横に [Google Domains(アクティブ)] と表示されている場合は、Google Domains のデフォルトのネームサーバーを使用しています。

  1. [DNSSEC] ボックスまで下にスクロールします。
  2. [オフにする] を選択します。

DNSSEC を無効にすると、Google Domains によってドメインの DS レコードがすぐに公開停止されます。この変更がインターネット上で更新されると、ドメインは DNSSEC で保護されなくなります。この処理には最大で 48 時間かかることがあります。その後、Google Domains によって DNS ゾーンへの署名が解除されて、DNSSEC の無効化が完了します。

• カスタム ネームサーバーを使用している場合

無効化プロセスを完了するには、Google Domains から DS レコードを削除し、DNS プロバイダと協力して DNSKEY リソース レコードをゾーンファイルから削除する必要があります。

  1. Google Domains にログインします
  2. ドメイン名を選択します。
  3. 左上の [メニュー] 次に [DNS] の順に選択します。
  4. まだ選択されていない場合は、ページの上部にある [カスタム(アクティブ)] をクリックします。

ヒント: ページ上部で、[カスタム] の横に [Google Domains(アクティブ)] と表示されている場合は、Google Domains のデフォルトのネームサーバーを使用しています。

  1. [DS レコードを管理] を選択します。
  2. すべてのレコードの横にある [削除] を選択します。
  3. [保存] を選択します。

DNS プロバイダと協力して、DNSSEC 関連のリソース レコードをゾーンから削除することもできます。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
93020
false