※ 2022 年 6 月 6 日現在の情報をもとに作成しています

1. はじめに

本記事では、Virtual Appliance に実装された DNSSEC 機能について紹介します。なお、以前の記事の中で DNSSEC の簡単な説明と Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) の対応状況について触れていますので、本記事を読む前に確認することをお勧めします。

2. Virtual Appliance の DNSSEC 機能

Virtual Appliance は DNS フォワーダーの一種で、ユーザーから送られてきた DNS リクエストを Umbrella の DNS サーバーへ転送する「DNS フォワーダー」としての役割を持ちます。

送り先である Umbrella の DNS サーバー側には DNSSEC 機能が実装されており、DNSSEC 検証とユーザーから送られてきた DNS リクエストの DO ビット対応 (つまりユーザー側の DNSSEC 検証の支援) が可能です。

Virtual Appliance にも DNSSEC 機能が用意されたわけですが、実際に実装された機能は Umbrella の DNS サーバーが持つ機能のうちの後者 (DO ビット対応) のみとなります。

主な理由としては、Virtual Appliance と Umbrella の DNS サーバー両方で DNSSEC 検証を行うのは冗長であることが挙げられます。

3. DNSSEC 機能の設定

Virtual Appliance の DNSSEC 機能 (DO ビット対応) の設定は Config Mode または SSH 接続による CLI ベースで行います。デフォルトでは無効になっており、有効にするには以下のコマンドを実行します。

config va dnssec enable

現在の設定を確認したい場合は、以下のコマンドを実行します。

config va show

出力結果内に以下のいずれかの記述が含まれています。

DNSSEC : enabled
DNSSEC : disabled

DNSSEC 機能を無効にしたい場合は、以下のコマンドを実行します。

config va dnssec disable

4. DNSSEC における注意点

現在のバージョンの Virtual Appliance では、DNS リクエストや DNS レスポンスに含まれる DNSSEC に関連した flags が解除された状態で転送が行われます。

具体的には、ユーザーからの DNS リクエストの flags に cd (Checking Disabled) が指定されていても、Umbrella の DNS サーバーで DNSSEC 検証は無効化されません。

また、Umbrella の DNS サーバーの DNSSEC 検証で正当性が確認されても、ユーザーが受け取る DNS レスポンスの flags に ad (Authentic Data) は設定されません。