Route 53 での DNSSEC の非存在証明 - Amazon Route 53

Route 53 での DNSSEC の非存在証明

注記

Route 53 は、変更される可能性がある次のルールを使用します。将来変更があっても、お客様のゾーンまたは Route 53 のセキュリティ体制が減少することはありません。

DNSSEC には、次の 3 種類の非存在証明があります。

  • クエリ名に一致するレコードが存在しないことの証明。

  • クエリタイプに一致するタイプが存在しないことの証明。

  • レスポンスにレコードを生成するために使用されるワイルドカードレコードが存在することの証明。

Route 53 は、BL メソッドを使用して、クエリ名と一致するレコードが存在しないことの証明を実装します。詳細については「BL」を参照してください。これは、証明をコンパクトに表現し、ゾーンウォーキングを防ぐ方法です。

クエリ名と一致するレコードは存在するものの、クエリタイプが存在しない場合 (クエリの対象は、web.example.com/AAAA であるのに、web.example.com/A しか存在しないなど)、サポートされているすべてのリソースレコードタイプを含む最小の NSEC (次にセキュアな) レコードを返します。

Route 53 がワイルドカードレコードから結果を生成する場合、そのレスポンスには後に続くセキュアレコード、あるいはワイルドカードの NSEC レコードは付属しません。このような NSEC レコードは、レスポンスのリソースレコード署名 (RRSIG) が別のレスポンスを偽装するために再利用されないように、一部の実装 (通常はオフライン署名を実行する実装) で使用されます。Route 53 では、別のレスポンスで再利用できないレスポンスに固有の RRSIG を生成する非 DnsKey のレコードに、オンライン署名を使用しています。