DNSSEC-MITM攻撃からどのように保護しますか？

この問題は信頼の連鎖によって解決されます。この連鎖のすべてのリンクは、前のゾーンでDSレコードに署名しています。 。これは、ルートネームサーバーでのアンカーの重要性を強調します。これが偽装された場合、信頼のチェーン全体が侵害されました。したがって、リゾルバは、トラストアンカーで事前構成する必要があります。 RFC 6781 説明：

4.2.3。リゾルバーに固定されたキーの侵害

キーは、リゾルバーでトラストアンカーとして事前に構成することもできます。トラストアンカーキーが侵害された場合、これらのキーを使用するリゾルバーの管理者にこの事実を通知する必要があります。ゾーン管理者は、SEPキーがロールオーバーされようとしているという事実を伝えるためにメーリングリストを設定することを検討するかもしれません。このコミュニケーションは、例えば、デジタル署名。

アンカーキーを更新するタスクに直面しているエンドユーザーは、常に新しいキーを確認する必要があります。新しいキーは、たとえば、トランスポート層セキュリティ（TLS） [RFC5246] を使用して保護されたアナウンスWebサイトを使用して、帯域外で認証される必要があります。

Current Root Trust Anchors（bind.keys） Internet Systems Consortiumから直接。サイトはTLSを使用して保護されており、ファイルも署名鍵で署名されています。

何もない場合named.confありませんbind.keysファイルは、名前付きでコンパイルされたキーを使用します。

注：これらはマネージドキーであるため、namedを初めて実行するときにのみ適用されます。キーの有効期限がまだ切れていない場合（namedはキーの有効期限が切れていることをログに記録し、検証が機能しない）、namedはRFC 5011を使用して新しいキーを検出し、キーを自動的にロールして維持します。名前を付けてキーを管理すると、現在のキーはmanaged-keys.bindまたは*.mkeys、ビューを使用する場合。

もう1つの問題は、リゾルバーとの通信である「ラストマイル」です。リゾルバーが署名を検証し、DNSで応答している可能性がありますAuthenticated Data（AD）ビットですが、DNSはプレーンテキストで機能するため、中間者（MITM）の攻撃者によって結果が変更される可能性があります。これには複数の解決策があります：

• アンカーキーファイルを備えた独自のローカルリゾルバを作成することもできますが、これは大容量の実用的な解決策ではありません。また、フォワーダーが構成されていない場合、ルートネームサーバーへのトラフィックが増加します。これは、自分で署名を検証する、信頼の置けるソリューションです。

• DNS-over-TLS ＆ DNS-over-HTTPS 。例えば。 Cloudflare with 1.1.1.1両方をサポート ：

  必要なのは、新しい最新のプロトコルへの移行です。いくつかの異なるアプローチがあります。 1つはDNS-over-TLSです。これは、既存のDNSプロトコルを使用して、トランスポート層の暗号化を追加します。もう1つはDNS-over-HTTPSです。これには、セキュリティだけでなく、他のトランスポート層（QUICなど）のサポートやサーバーHTTP/2サーバープッシュなどの新しいテクノロジーのサポートなど、すべての最新の拡張機能が含まれています。 DNS-over-TLSとDNS-over-HTTPSはどちらもオープンスタンダードです。

  DNS-over-HTTPSは特に有望で、高速で、解析が簡単で、暗号化されています。 – –独立したDNS-over-HTTPSサービスが利用可能になり、ブラウザ、オペレーティングシステム、ルーター、アプリからのプロトコルをサポートする実験がさらに増えることを期待しています。

• DNSCrypt 暗号署名を使用して、DNSクライアントとDNSリゾルバー間の通信を認証します。これはIETFに提案されたことはありません（RFCはありません）。