DNSSECとは
DNSSEC(Domain Name System Security Extensions)とは、 DNSに対し、データ作成元の認証やデータの完全性を確認できるように仕様を拡張するものです。 DNSSECによって、データの偽装を検知することができるようになり、 DNSキャッシュポイズニング(*)のような攻撃を防ぐことができます。
DNSSECでは、従来のDNSプロトコルに対し、DNS Public Key (DNSKEY)、 Resource Record Signature (RRSIG) 等のリソースレコードや、ADビット等のヘッダフラグが追加・修正されています。
データの作成元は、これらのレコードを用いて署名を行い、 また、データを参照する側のDNSリゾルバ(クライアント)は、 送られてきたデータの署名を検証することで、情報が正しいものかどうかを判断します。
(*) http://www.nic.ad.jp/ja/basics/terms/DNS-cp.html
参考:
RFC 4033 http://www.ietf.org/rfc/rfc4033.txt
RFC 4034 http://www.ietf.org/rfc/rfc4034.txt
RFC 4035 http://www.ietf.org/rfc/rfc4035.txt
