ドメイン番人
DNSSECDNSドメイン管理

DNSSEC の DS レコードをレジストラに登録する手順

ドメイン番人7 分で読めます
目次

この記事でわかること

  • DNSSEC 有効化の最後の一手「DS レコードのレジストラ登録」が何をしているか
  • DNSKEY から DS を生成し、レジストラの管理画面に登録するまでの具体的な手順
  • 登録ミスがドメイン全体(Web もメールも)の停止に直結する理由と、回避するための検証方法

DS レコードとは|信頼の連鎖をつなぐ要

DNSSEC(ディーエヌエスセック、DNS の応答に電子署名を付けて改ざんを検出する仕組み)を有効にするとき、最後にして最重要の作業が DS レコードのレジストラ登録です。仕組み全体の入門は DNSSEC とは|Web 担当者の導入判断ガイド で解説しています。

DS(Delegation Signer、デリゲーション・サイナー)レコードは、あなたのドメインの KSK(鍵署名鍵)の公開鍵をハッシュ化した値です。JPRS(日本レジストリサービス)の用語解説によると、親ゾーンに登録された DS の内容と、子ゾーン側の DNSKEY(KSK 公開鍵)が一致することで、DNSSEC の 信頼の連鎖(chain of trust) が構築されます。

DNSSEC の信頼の連鎖の図

ここで重要なのは、子ゾーン(あなたのドメイン)だけでは DNSSEC は完結しないという点です。あなたが自社の DNS で署名を有効にしても、その正しさを保証する DS が 親ゾーン(.jp や .com を管理するレジストリ) に登録されていなければ、検証する側(リゾルバ)はチェーンをたどれません。

そして、親ゾーンへ DS を登録する窓口が レジストラ(ドメインの登録事業者) です。お名前.com や Xserver、Cloudflare Registrar などでドメインを契約しているなら、その管理画面が DS の登録口になります。DS レコードの種類は DNS レコードの種類と役割 でも触れている、DNSSEC 専用のレコードの一つです。

レジストラへの DS レコード登録手順

登録は大きく 4 ステップです。順番を守ることが事故防止の前提になります。

DS レコード登録の 4 ステップ

ステップ 1: DNS 事業者で DNSSEC を有効化する

まず、ゾーンを実際にホストしている DNS 事業者側で署名を有効にします。たとえば Cloudflare の公式ドキュメントでは、ダッシュボードの DNS 設定で「Enable DNSSEC」をクリックすると署名が始まり、登録すべき DS レコードの値が表示される、という 2 段階の流れが案内されています。

この段階で鍵(KSK / ZSK)が生成され、ゾーンへの署名が始まります。AWS Route 53 や Google Cloud DNS でも、ゾーン側で DNSSEC を有効化すると DS の値が提示される点は共通です。

ステップ 2: DNSKEY から生成された DS の値を控える

有効化すると、登録に必要な値一式が表示されます。一般的に次の項目が含まれます。

  • キータグ(Key Tag): 鍵を識別する番号
  • アルゴリズム(Algorithm): 署名方式の番号(Cloudflare の推奨はアルゴリズム 13、ECDSA Curve P-256 with SHA-256)
  • ダイジェストタイプ(Digest Type): ハッシュ方式(SHA-256 など)
  • ダイジェスト(Digest): KSK をハッシュ化した文字列本体

DNS 事業者によっては DS レコード一式をそのまま表示する場合と、DNSKEY だけを表示してレジストラ側で DS に変換させる場合があります。表示された値はそのまま正確にコピーしてください。一文字でも書き換えると検証に失敗します。

ステップ 3: レジストラの管理画面で DS を登録する

控えた値を、ドメインを契約しているレジストラの管理画面に入力します。メニュー名はサービスごとに異なるため、ここでは一般的な位置のみ示します。最新の名称や画面は各社の公式ヘルプで必ず確認してください。

  • お名前.com: お名前.com Navi 内の「DSレコード設定」。お名前.com の公式ヘルプによると、外部のネームサーバーで運用しているドメインでも、この「DSレコード設定(レジストリ取次ぎ機能)」で DS を登録できます。
  • Xserver ドメイン: ドメイン管理画面の DNSSEC / DS レコード関連の設定項目から登録します。具体的な対応状況は公式ヘルプで確認してください。
  • Cloudflare Registrar: Cloudflare でドメインを登録している場合、Cloudflare の公式ドキュメントによると DS レコードは自動で追加されます(.ch / .cz ドメインも自動対応)。この場合、手動での DS 登録は不要です。

入力欄は「キータグ」「アルゴリズム」「ダイジェストタイプ」「ダイジェスト」に分かれていることが多いので、ステップ 2 で控えた値を対応する欄へ正確に入れます。

ステップ 4: dig や DNSViz で検証する

登録後、親ゾーンへ反映されるまで数時間から最大 48 時間ほどかかる場合があります。反映を待ってから、信頼の連鎖が完成したかを確認します。

  • コマンドで確認: 検証を行うリゾルバに問い合わせて dig +dnssec example.jp @1.1.1.1 を実行し、応答に ad(Authenticated Data、認証済みデータ)フラグが立っていれば検証が成立しています。なお ad は検証するリゾルバへ問い合わせたときに立つフラグで、権威サーバーへ直接問い合わせた場合は正常でも付かない点に注意してください。dig DS example.jp +trace で親ゾーン側に DS が見えるかも確認できます。
  • Web ツールで確認: DNSViz(dnsviz.net)にドメインを入力すると、ルートから対象ドメインまでのチェーンを図で可視化し、どこで切れているかを示してくれます。

検証が通って初めて DNSSEC は「機能している」状態になります。ここまでがワンセットです。簡易チェックは無料の ドメイン診断 でも DNSSEC の有効状態を確認できます。

登録ミスが招くドメイン停止と CDS / CDNSKEY による自動化

DS 登録は強力ですが、間違えるとドメイン全体が世界中から見えなくなる作業でもあります。ここを軽視しないことが何より大切です。

なぜドメイン全体が止まるのか

DS は Web もメールも区別しません。親ゾーンの DS と子ゾーンの鍵がズレると、リゾルバは「署名が検証できない」と判断し、応答そのものを破棄します(SERVFAIL)。結果として、その状態になるのは特定のサービスだけではありません。

  • Web サイトが表示されなくなる
  • メールの送受信ができなくなる(宛先ドメインが解決できない)
  • 復旧には親ゾーンの DS の修正・削除が必要で、反映に時間がかかる

特に危険なのが 「DS を登録したまま DNS 事業者を乗り換える」「鍵を変えたのに親の DS を更新しない」 といった親子の鍵ズレです。移行作業の事故事例は DNS 移行でメールが止まったときの復旧手順 でも扱っています。DNS 事業者の変更や鍵のローテーションを行うときは、先に DS の整合性を確認してから進めてください。

CDS / CDNSKEY による自動化

この親子の鍵ズレを減らす仕組みが、RFC 7344 で標準化された CDS(Child DS)CDNSKEY(Child DNSKEY) です。

RFC 7344 によると、子ゾーンがこれらのレコードを公開し、親ゾーン側がそれを検知して DS を自動更新することで、鍵更新のたびに発生していた手作業の連絡を不要にできます。鍵のローテーションが「手動で、しかも簡単ではない」工程だったものを、DNS 自体を通信路として自動化するのが狙いです。

対応しているレジストリ・DNS 事業者の組み合わせであれば、初回の DS 登録さえ済めば、その後の鍵更新は CDS / CDNSKEY 経由で自動的に追従させられます。ただし対応状況は事業者ごとに異なるため、自動化に頼る場合も最初の登録結果と継続的な検証は人の目で確認するのが安全です。

よくある質問

DS を登録したのに反映されません

親ゾーンへの反映には数時間から最大 48 時間かかることがあります。時間をおいても反映されない場合は、入力した値(特にダイジェスト)に誤りがないか、DNS 事業者側の DNSKEY と一致しているかを確認してください。

DNS 事業者を変更するときは DS をどうすればよいですか

鍵が変わるため、原則として 旧 DS を削除し、新しい DNS 事業者の DS を登録します。順番を誤ると停止につながるため、移行手順の中で DS の扱いを必ず計画に含めてください。

DS の登録は無料ですか

レジストラやプランによって異なります。たとえばお名前.com の「DSレコード設定」は無料で提供されています。費用が発生するかどうかは契約中のサービスの最新情報を確認してください。

まとめ|まずは現状を把握しましょう

要点を整理します。

  • DNSSEC 有効化の最後の一手は、DNSKEY から生成した DS をレジストラ経由で親ゾーンに登録すること
  • 流れは「DNS 事業者で有効化 → DS 値を控える → レジストラに登録 → dig / DNSViz で検証」の 4 ステップ
  • 親子の鍵ズレはドメイン全体(Web もメールも)の停止に直結する。CDS / CDNSKEY による自動化と、登録後の検証を必ずセットで行う

自社ドメインの DNSSEC が正しく機能しているか不安な方は、無料の ドメイン診断 で現状を確認できます。DNSSEC の有効状態に加え、NS 冗長性や CAA など DNS 全体の健全性を一括でチェックします。DS の登録や DNS 事業者の移行を安全に進めたい場合は、専門家が手作業で確認しながらサポートしますので、お気軽にご相談ください。

関連記事

次の一歩は無料診断から。

無料診断を試す →相談したい方はこちらから