Episode 5
DNSの頂点にいる人たち
DSレコードが本当に信頼できるかを確かめて、子ゾーンから親ゾーンへ辿ると、最後には「コンピューターお断り」の頂点にたどり着くんだ。
DSレコードを持ってる親ゾーンの中で、いちばん最後にあるのがルートゾーンなんだ。
ルートゾーンのキー署名キーで作られたDNSKEYレコードは、自分自身で検証されてるんだ。でも、それって誰が信頼できると決めたの?
人間!
ルート署名セレモニーは、人間たちが集まって、いちばん上のDNSKEYが新しくなるのを祝って、みんなで署名するイベントなんだ。
このセレモニーは年に4回開かれているんだ。
これらはすべて、監査法人がしっかりチェックする中で、安全な場所で行われてるんだ。
参加する人間にできることはほんの少しだけ。だから、もし悪者がチームで入り込んでも、セレモニーそのものは守られるようになってるんだよ。
セレモニーの成果として、ルートのDNSKEYを検証するための新しいRRSIGレコードができあがるんだ。
ルートから出発して、信頼チェーンを一緒にたどってみよう!
dnsimple.com にアクセスすると、リゾルバが .com サーバーの場所をルートに聞くんだ。
リゾルバは、ルートのキー署名キーのDNSKEYは人間が作ったものだから信頼できると思うんだ。
ルートの鍵を信頼できるようになったから(セレモニーに参加した謎の人たち、ありがとう!)、 .com → dnsimple.com → www.dnsimple.com の順に、検証していけるんだ。
もし信頼チェーンのどこかで問題が起きたら(たとえばDSレコードがDNSKEYと合ってないとか)、DNSSECがちゃんとリゾルバに警告してくれるよ。
信頼できないってわかったら、リゾルバはその応答をあなたの端末に届けるのをやめちゃうんだよ。
要するにこれは、悪さをしようとするカニ君、改ざんされたデータ、ドジな悪のハッカーへの超特大のアクセス拒否サインだよ。
以上が、DNSSECのざっくりした全体像だよ。
ゾーン署名鍵がデータに署名するよ。
親ゾーン内のDSレコードは、子ゾーンの正当性を証明する。
ルートゾーンはリアルな人間がちゃんとチェックしてるから、DNS全体のツリーが信頼を土台にして成り立ってるんだ。
ここまでの流れがわかったなら、さあ、DNSSECで君のドメインを守ろう!
たとえ何匹のカニ君が通信をいじろうとしても、DNSの世界は安全になるんだ!