DNS(ドメイン名→IPアドレスの変換)は1983年の設計時にセキュリティが考慮されておらず、応答の偽造が可能でした。2008年のKaminsky攻撃の公表を契機にDNSSEC(RFC 4033-4035)の導入が加速しました。
仕組みとしては、ドメイン所有者がDNSレコードに電子署名を付加し、問い合わせ側が公開鍵で署名の正当性を検証します。信頼の起点はルートゾーン(DNSの最上位階層)の鍵で、2010年にルートゾーンへのDNSSEC署名が開始されました。日本の.jpドメインは2011年から対応しています。
課題として、署名データが加わることでDNS応答サイズが増大すること、鍵の定期更新作業が複雑であることが挙げられます。2024年時点で.jpドメインのDNSSEC署名率は約3%と低く、普及途上にあります。
References
この用語が登場する記事
この用語を含む記事は今後追加予定です。