DNSSECの導入 その1

BINDの最新バージョンを使えば導入もそれほど難しくないかと思っていたが、よくよく調べてみるとそれはキャッシュサーバの場合で、権威サーバの場合は結構敷居が高いのがわかった。
構築以上に運用では定期的な更新作業が発生するので手間がかかる。
ざっと権威サーバで必要な項目を挙げると

1.署名鍵(DNSKEY):Key Signing Key、Zone Signing Key
2.署名(RRSIG)
3.信頼の連鎖(DSレコード)

サーバ構成は外部サーバに鍵を置かない方が良いため、マスターはゾーンと鍵、署名を管理し、セカンダリーに問い合わせを任せるhidden master構成がいいみたい。
このサイトのドメインをDNSSECに対応させたいですが、信頼の連鎖のためDSレコードを上位のゾーン(DNS)に載せてもらう必要があります。この場合、レジストリに直接依頼するのではなく、レジストラ経由で依頼するらしいですが対応しているレジストラはまだまだ少ないです。