よくある質問:DNSSEC
IBM® NS1 Connect® 、ゾーンのDNSSECオンライン署名に関する以下のよくある質問を参照してください。
- ゾーンでDNSSECを有効にするにはどのくらいの時間がかかりますか?
- ゾーンでDNSSECを有効にするのは、即座に完了する作業です。 NS1 Connect ポータルは、DNSレスポンスに署名するためにDNSSECオンライン署名を採用しています。 プライマリゾーンでDNSSECを正常に有効にすると、 NS1 Connect、そのゾーンはシールドとチェックマークのアイコンとともにゾーン リストに表示されます。
- ゾーン署名鍵(ZSK)と鍵署名鍵(KSK)はどのくらいの頻度でロールオーバーされますか?
- 現在、ZSKとKSKは定期的にロールバックされていません。 NS1 Connect はECDSA アルゴリズムを使用しており、現在および予測可能な将来にわたって安全とみなされている。 P256 緊急時には、 NS1 Connect 、ZSKを透過的にロールバックすることができる。 しかし、DNSプロトコルは透過的なKSKロールを許可しないため、 NS1 Connect 、ロールが必要な場合は顧客と調整することになる。
- NS1 Connect 、レジストラにカスタムキーをアップロードできますか?
- いいえ、カスタムDNSSEC署名鍵をアップロードすることはできません。
- 委任署名者(DS)レコードには有効期限がありますか?
- DSレコードは親ゾーンで公開され、委任の一部として応答に含まれます。 レコードには明確な有効期限はないが、期限切れとなる署名を関連付ける必要がある。 レコードは親ゾーンに存在するため、その署名は親ゾーンの運営者によって維持および更新されます。ほとんどの場合、TLDレジストリによって行われます。
- DNSSECに関してゾーン設定を変更しても問題ないか?
- ゾーンがレジストラで確実に委任される(つまり、DSレコードが公開される)までは、DNSリゾルバはゾーンが署名されていることを期待しないため、DNSSEC関連のゾーン設定を変更してテストを行うことは安全です。
レジストラに DS レコードを提供する前に、DNSSEC が有効化されてから、すべてのリゾルバがゾーンのレコードを期限切れにするのに必要な時間を確保してください。 SOAレコードのminimum-TTL値は、必要な時間を秒単位で指定する( NS1 Connect APIにおけるゾーンの
nx_ttlを参照)。委任にDSレコードが公開された後は、ゾーンのDNSSECを無効にしないでください。DNSSEC検証エラーが発生する可能性があります。
- NS1 Connect プラットフォームは、私自身または他のプロバイダーによってDNSSEC署名されたゾーンを提供できますか?
- DNSSECは、プライマリゾーン(他の場所でホストされている)から セカンダリゾーン( NS1 Connect)へのゾーン転送において、 NSECまたは NSEC3 レコードが認証された存在拒否を提供する場合にサポートされる。 ご質問やサポートが必要な場合は、 IBM サポートにご連絡ください。