Episode 5

DNSの頂点にいる人たち

DSレコードが本当に信頼できるかを確かめて、子ゾーンから親ゾーンへ辿ると、最後には「コンピューターお断り」の頂点にたどり着くんだ。

DSレコードが本当に信頼できるかを確かめて、子ゾーンから親ゾーンへ辿ると、最後には「コンピューターお断り」の頂点にたどり着くんだ。

DSレコードを持ってる親ゾーンの中で、いちばん最後にあるのがルートゾーンなんだ。

DSレコードを持ってる親ゾーンの中で、いちばん最後にあるのがルートゾーンなんだ。

ルートゾーンのキー署名キーで作られたDNSKEYレコードは、自分自身で検証されてるんだ。でも、それって誰が信頼できると決めたの?

ルートゾーンのキー署名キーで作られたDNSKEYレコードは、自分自身で検証されてるんだ。でも、それって誰が信頼できると決めたの?

人間!

**人間!**

ルート署名セレモニーは、人間たちが集まって、いちばん上のDNSKEYが新しくなるのを祝って、みんなで署名するイベントなんだ。

ルート署名セレモニーは、人間たちが集まって、いちばん上のDNSKEYが新しくなるのを祝って、みんなで署名するイベントなんだ。

このセレモニーは年に4回開かれているんだ。

このセレモニーは年に4回開かれているんだ。

これらはすべて、監査法人がしっかりチェックする中で、安全な場所で行われてるんだ。

これらはすべて、監査法人がしっかりチェックする中で、安全な場所で行われてるんだ。

参加する人間にできることはほんの少しだけ。だから、もし悪者がチームで入り込んでも、セレモニーそのものは守られるようになってるんだよ。

参加する人間にできることはほんの少しだけ。だから、もし悪者がチームで入り込んでも、セレモニーそのものは守られるようになってるんだよ。

セレモニーの成果として、ルートのDNSKEYを検証するための新しいRRSIGレコードができあがるんだ。

セレモニーの成果として、ルートのDNSKEYを検証するための**新しいRRSIGレコード**ができあがるんだ。

ルートから出発して、信頼チェーンを一緒にたどってみよう!

ルートから出発して、信頼チェーンを一緒にたどってみよう!

dnsimple.com にアクセスすると、リゾルバが .com サーバーの場所をルートに聞くんだ。

dnsimple.com にアクセスすると、リゾルバが .com サーバーの場所をルートに聞くんだ。

リゾルバは、ルートのキー署名キーのDNSKEYは人間が作ったものだから信頼できると思うんだ。

リゾルバは、ルートのキー署名キーのDNSKEYは人間が作ったものだから信頼できると思うんだ。

ルートの鍵を信頼できるようになったから(セレモニーに参加した謎の人たち、ありがとう!)、 .com → dnsimple.com → www.dnsimple.com の順に、検証していけるんだ。

ルートの鍵を信頼できるようになったから(セレモニーに参加した謎の人たち、ありがとう!)、 .com → dnsimple.com → www.dnsimple.com の順に、検証していけるんだ。

もし信頼チェーンのどこかで問題が起きたら(たとえばDSレコードがDNSKEYと合ってないとか)、DNSSECがちゃんとリゾルバに警告してくれるよ。

もし信頼チェーンのどこかで問題が起きたら(たとえばDSレコードがDNSKEYと合ってないとか)、DNSSECがちゃんとリゾルバに警告してくれるよ。

信頼できないってわかったら、リゾルバはその応答をあなたの端末に届けるのをやめちゃうんだよ。

信頼できないってわかったら、リゾルバはその応答をあなたの端末に届けるのをやめちゃうんだよ。

要するにこれは、悪さをしようとするカニ君、改ざんされたデータ、ドジな悪のハッカーへの超特大のアクセス拒否サインだよ。

要するにこれは、悪さをしようとするカニ君、改ざんされたデータ、ドジな悪のハッカーへの超特大のアクセス拒否サインだよ。

以上が、DNSSECのざっくりした全体像だよ。

以上が、DNSSECのざっくりした全体像だよ。

ゾーン署名鍵がデータに署名するよ。

ゾーン署名鍵がデータに署名するよ。
キー署名キーがゾーン署名鍵に署名するよ。
キー署名キーがゾーン署名鍵に署名するよ。

親ゾーン内のDSレコードは、子ゾーンの正当性を証明する。

親ゾーン内のDSレコードは、子ゾーンの正当性を証明する。

ルートゾーンはリアルな人間がちゃんとチェックしてるから、DNS全体のツリーが信頼を土台にして成り立ってるんだ。

ルートゾーンはリアルな人間がちゃんとチェックしてるから、DNS全体のツリーが信頼を土台にして成り立ってるんだ。

ここまでの流れがわかったなら、さあ、DNSSECで君のドメインを守ろう!

ここまでの流れがわかったなら、さあ、DNSSECで君のドメインを守ろう!

たとえ何匹のカニ君が通信をいじろうとしても、DNSの世界は安全になるんだ!

たとえ何匹のカニ君が通信をいじろうとしても、DNSの世界は安全になるんだ!
DNSSECのスキルを試す準備はできたかな?今すぐテキストアドベンチャーに飛び込んで、DNSの世界にひそむ敵を出し抜けるか挑戦してみよう! ゲームスタート