ドメイン用に DNSSEC を構成する
DNSSEC とは DNS プロトコルの拡張であり、DNS データに署名することでドメイン名解決プロセスのセキュリティを強化できます。DNSSEC とその使用方法に関する基本情報は、ICANN のウェブサイトおよび https://tools.ietf.org/html/rfc6781 を参照してください。
注: DNSSEC は Plesk for Linux でサポートされています。ホスティング事業者が Plesk に Plesk DNSSEC 拡張をインストールしている必要があります。
DNSSEC によってドメインの DNS データを保護するには:
- DNSSEC の仕様に従ってドメインゾーンを署名/署名解除する
- (オプション)鍵の生成に使用するカスタム設定を指定する
- 通知を受信する
- DS リソースレコードを表示/コピーする
- DNSKEY リソースレコードセットを表示/コピーする
ドメインゾーンに署名する
DNS ゾーンの DNSSEC 保護の使用を開始するには、このゾーンに署名します。Plesk はゾーンに署名するために、2 対の非対称鍵、KSK(鍵署名鍵)、ZSK(ゾーン署名鍵)を使用して自動生成された署名を使用します。
ドメインゾーンに署名するには:
- [ウェブサイトとドメイン]でドメインを選択します。
- [DNSSEC]に進み、[DNS ゾーンに署名]をクリックします。
- まだこのゾーンに署名していない場合、Plesk から署名の作成に使用する鍵を生成するように求められます。
デフォルト値を使用するか、カスタム値を指定することができます。推奨される値は以下を参照してください。
- 以前に DNS ゾーンに署名した場合には、以前に生成した鍵を使用するか、新しい鍵を生成するかを選択できます。新しい鍵を希望する場合、デフォルト値を使用するか、カスタム値を指定することができます。推奨される値は以下を参照してください。
KSK および ZSK の生成時に推奨される設定値:
- KSK では、鍵の長さとロールオーバー期間を長くする
KSK が更新されるたびに、親ゾーンの DS レコードを更新する必要があります。推奨値により、セキュリティを低下させることなく DS レコードの更新頻度を減らすことができます。
- ZSK では、鍵の長さとロールオーバー期間を短くする
ZSK は自動的に更新されます。推奨値により、セキュリティを低下させることなくシステムリソースを節約できます。
- KSK では、鍵の長さとロールオーバー期間を長くする
- 署名手順の最後に、ゾーンの署名に使用された KSK のハッシュが含まれる DS レコードが表示されます。
DS リソースレコードをクリップボードにコピーしてから、親ドメインゾーンに追加します。以下の「親ゾーンの DS レコードを更新する」を参照してください。
親ゾーンの DS レコードを更新する
親ゾーンに古い DS レコードが含まれている場合、DNS サービスがドメイン名を解決できなくなります。
DNSSEC 鍵が更新された場合は、親ドメインゾーンで DS レコードを手動で追加または更新する必要があります。
- 新規生成された鍵でドメインゾーンに署名した。
- KSK(鍵署名鍵)ロールオーバーイベントが発生した。
Plesk は通知を送信し、DS レコードを更新するための猶予期間を設けます。この期間は、KSK ロールオーバー期間と同じ長さです。この期間中は引き続き以前の DS レコードが有効になります。
ドメインゾーンを署名解除した場合、親ドメインゾーンの DS レコードを手動で削除する必要があります。
親ゾーンの DS レコードを更新するには:
Plesk 内のドメインの親ゾーンが Plesk 外にある場合は、ドメインのレジストラで DS レコードを更新します。
Plesk 内でホストされているドメインのサブドメインの DNS ゾーンが Plesk 内にある場合:
- 親ドメインの DNS 設定に進みます([ウェブサイトとドメイン]>[DNS 設定])。
- DS タイプの新しいレコードを追加して([レコードを追加])、Plesk がサブドメインの DNSSEC 設定の[DS リソースレコード]ボックスに表示する値を、サブドメインの DNSSEC 設定に貼り付けます。
ドメインゾーンの署名を解除する
ドメインゾーンの署名を解除すると、このゾーンの DNSSEC 保護がオフになります。鍵が悪用された場合は、ゾーンの署名を解除してから、新しい鍵で再びゾーンに署名する必要があります。
ドメインゾーンの署名を解除するには:
- [ウェブサイトとドメイン]に移動し、ドメインを選択して[DNSSEC]>[署名解除]をクリックします。
- 親ゾーンから DS リソースレコードを削除します。削除しなければ、このドメインは解決されなくなります。
注: ゾーンの署名を解除しても、鍵は Plesk から削除されません。再び同じ鍵を使用してゾーンに署名することができます。
DNSKEY リソースレコードを表示する
ドメインで使用される KSK のパブリック部分を含む DNSKEY リソースレコードを取得する必要がある場合があります。
DNSKEY レコードを表示するには:
- [ウェブサイトとドメイン]に移動し、ドメインを選択して[DNSSEC]をクリックします。
- [DNSKEY レコードを表示]をクリックします。