今年に入ってレジストリの JPRS さんが DNSSEC に対応なさいました (JPドメイン名におけるDNSSEC運用ステートメント(JP DPS)) 。その関係で DNSSEC のこと少しくらいお勉強しないとなぁと思ったわけですが、「要するに RSA で署名しちゃうわけなんでしょ〜」って理解だけだと何なので一応手を動かしてみることにしました。 DNSSEC は、各ゾーン毎で各レコードセットに署名をしてレコード情報の改竄が検知できるようにします (RRSIG レコード)。運用の簡便化の為に公開鍵は 2 つ用意されてます (DNSKEY レコードの ZSK と KSK)。KSK のハッシュなどを上位ドメインに登録してもらうことで「上位ドメインが信じれれば当該ドメインも信じれる」という信頼のチェーンを作ります (DS レコード)。詳しくは、ググってね。 つわけで、ターゲットは www.dnss