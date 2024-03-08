DNSセキュリティー拡張機能は、DNSのセキュリティーと信頼性を強化するように設計された、暗号的に保護されたフレームワークを提供します。DNSSECの中核では、公開鍵と秘密鍵のペアのシステムが採用されています。DNSSEC検証を有効にするために、ゾーン管理者は、プライベートゾーン署名鍵と、DNSKEYレコードとして配布される対応する公開鍵を使用して、デジタル署名（RRSIGレコードとして保存）を生成します。ZSKの署名と認証には鍵署名鍵が使用され、追加のセキュリティー・レイヤーを提供します。



DNSリゾルバーがクエリを受けると、要求されたRRsetと、プライベートゾーン署名鍵を含む関連するRRSIGレコードを取得します。次に、リゾルバーは、公開ZSK鍵を保持するDNSKEYレコードを要求します。これら3つのアセットを組み合わせて、リゾルバーが受信する応答を検証します。ただし、公開ZSKの信頼性は依然として検証する必要があります。ここで、鍵署名鍵が登場します。

鍵署名鍵は、パブリックZSKに署名し、DNSKEYのRRSIGを作成するために使用されます。ネームサーバーは、パブリックZSKの場合と同様に、DNSKEYレコードでパブリックKSKを公開します。これにより、両方のDNSKEYレコードを含むRRsetが作成されます。これらはプライベートKSKによって署名され、パブリックKSKによって検証されます。この認証は、KSKの目的であるパブリックZSKを検証し、要求されたRRsetの信頼性を検証します。