DNSSECと暗号化との違いとは。

「DNSSECは暗号化されたDNSと同じではないのですか」という質問がよく寄せられます。

いいえ、そうではありません。DNSSECは中間者攻撃からネットワークを保護しますが、これは暗号化とは異なる公開鍵暗号方式を通じて実現します。つまり、DNSSECは認証形式を提供しますが、機密性は提供しません。

DNSSECは、公開鍵暗号を使用して、DNSクエリにデジタルで「署名」または認証します。ゾーン・レコードに対してDNSSECが有効になっている場合、受信デバイスは受信した情報と権威サーバーから送信された元の情報とを比較できます。これは、公開鍵を使用してデータを認証するデジタル署名によって可能になります。

DNSSECでは、認証キーは暗号化によって保護されますが、データ自体は保護されません。DNSSECで保護されたトラフィックを傍受して読み取ることは引き続き可能です。データがデータ・パスのどこかで操作され、送信先に送信された場合、受信サーバーは、公開鍵が一致しないために何かが失敗していることを知ることができます。

一方、暗号化は、暗号化を使用してデータ自体をエンコードします。暗号化は、攻撃者がデータ・パスのどこかでクエリを傍受した場合に攻撃者が目にするものを変えることで、機密性を確保します。攻撃者が暗号化キーを使用して信号を解読できない限り、そのデータは理解できないようになります。その鍵は公開されていないため、暗号化によってデータが改ざんされないように保護されます。

DNSはインターネット上の古いプロトコルの1つです。インターネットが作成されたとき、インターネットははるかに小さな場所で、ほぼ誰もがお互いのことを知っていました。セキュリティーは後から考えられたものでした。

インターネット・セキュリティーが懸念されるようになった頃には、DNSは広く使用されていたため、大きな変更があるとシステム全体が急停止してしまうほどでした。DNSに代わる完全に暗号化されたプロトコルを開発するのではなく、既存のシステムに認証メカニズムを追加することが決定されました。

DNSSECは侵害であり、これによりクエリとデータの認証が可能になり、プロトコルのセキュリティーが向上しました。ただし、基盤となるシステムを変更することなくそれを実現したため、インターネットは何も再設計せずに次に進むことができました。DNSSECのデプロイメントは任意であり、組織が希望するときに移行できるようになりました。

DNSSECをデプロイする大きな理由のひとつが、DNSキャッシュ・ポイズニング（DNSスプーフィングとも呼ばれます）です。DNSスプーフィング攻撃では、DNSクエリに対する正当な応答に、認証されていない応答が置き換えられます。その答えはキャッシュに保存され、次に進む間違った答えを返し続け、「Time to Live」が期限切れになるまでユーザーを悪意のあるサイトに誘導します。

DNSSECはDNS応答を認証することで、正しい応答のみが返されるようにすることで、この種の攻撃から保護します。暗号化はDNS接続の基礎となるデータを保護する可能性がありますが、DNSスプーフィング攻撃からは保護されません。

残念ながら、インターネット・トラフィックの約20％のみがDNSSECを通じて検証されています（ibm.com外部のリンク）。これは数年前に比べて大幅な増加ですが、依然としてあるべき状況とは大きく異なります。ユーザビリティーの問題、情報不足、まったくの無尽蔵感が組み合わさって、その大きなギャップが形成されています。

NS1は、すべての顧客にDNSSECのデプロイメントを強く奨励し、簡単なデプロイメントプロセスを通じてDNSSECの使用を促進しています。他のプロバイダーとは異なり、NS1は専用DNSサービスを通じて、セカンダリ・プロバイダーまたは冗長DNSオプションとしてDNSSECもサポートしています。