誰がDNSサーバーにどのIPが新しいWebアドレスに対応するかを伝えますか?

0
2022.01.14

私が自分のサーバーを持っていて、DNSサーバーにどのWebサイトをホストしているかを伝えたいとしましょう。しかし、彼らはどのように私を信頼するでしょうか?私の本当のIPを知っているのは私のISPだけです。では、DNSサーバーはISPを信頼する必要があり、それだけですか?メールはどうですか?

回答
1
2022.01.14

DNSは階層システムであり、単一のルートブランチから、すべてのサブドメインとそのサブサブドメインなどがあります。

各ドメインのDNSは通常、独自のDNSサーバーによって管理されます。この場合のDNS親ドメインは、組織に独自のドメインまたはサブドメインに対する完全な権限を与える「ドメイン委任」と呼ばれるものを実行しました。その場合、組織のDNSサーバーは、そのドメインの権限のあるネームサーバーになります。

ドメインの委任は完全な信頼を意味します-親は検閲を適用せず、子は物事を台無しにする完全な権限を持ちますが、名前をIPアドレスにマッピングするための独自のドメインのみに制限されます。

これは非常に不安定な状況であり、時には全体主義体制によって、時には詐欺師によって、システムの誤用を可能にしました。

解決策は、ドメインネームシステムセキュリティ拡張機能(DNSSEC)です。

cloudflareからDNSSECの穏やかな紹介

DNSSECは、既存のDNSレコードに暗号署名を追加することにより、安全なドメインネームシステムを作成します。これらのデジタル署名は、A、AAAA、MX、CNAMEなどの一般的なレコードタイプとともにDNSネームサーバーに保存されます。関連する署名を確認することで、要求されたDNSレコードが権威あるネームサーバーからのものであり、変更されていないことを確認できます。 -man-in-the-middle攻撃で注入された偽のレコードとは対照的なルート。

現在、ほとんどの高レベルDNSサーバーはDNSSECによって保護されています。