DNSSECオプション

DNSセキュリティ拡張（DNSSEC） ↗は、DNSレコードに暗号署名を追加することでセキュリティを向上させます。複数のプロバイダーを使用し、Cloudflareがセカンダリの場合、Cloudflareが提供するレコードに対してDNSSECを有効にするためのいくつかのオプションがあります。

• マルチサイナーDNSSEC: CloudflareとあなたのプライマリDNSプロバイダーは互いの署名キーを知っており、RFC 8901 ↗に従ってDNSレコードのライブ署名をそれぞれ行います。
• ライブ署名: あなたのドメインがプライマリプロバイダーのネームサーバーに委任されておらず、CloudflareのセカンダリネームサーバーがDNSクエリに対して権威を持って応答する唯一のネームサーバーである場合（隠れプライマリ設定）、このオプションを選択してCloudflareにDNSレコードのライブ署名を行わせることができます。
• 事前署名: あなたのプライマリDNSプロバイダーがレコードに署名し、署名を転送します。Cloudflareはこれらのレコードと署名をそのまま提供し、署名を行いません。CloudflareはNSECレコード ↗（NSEC3レコードではなく）のみをサポートしており、この設定はセカンダリDNSオーバーライドやロードバランシングをサポートしていません。

---

マルチサイナーDNSSECの設定

マルチサイナーDNSSECの設定を参照し、Cloudflareをセカンダリとして考慮した指示に従ってください。

---

ライブ署名DNSSECの設定

CloudflareのセカンダリネームサーバーをDNSクエリに対して権威を持って応答する唯一のネームサーバーとして使用している場合（隠れプライマリ設定）、Cloudflareにゾーンのレコードに署名させるためにライブ署名DNSSECを有効にできます。

この設定では、プライマリDNSプロバイダーでDNSSECを有効にする必要はありません。

ダッシュボード

1. Cloudflareダッシュボード ↗にログインし、アカウントとゾーンを選択します。

2. DNS > 設定に移動します。

3. セカンダリDNSによるDNSSECの下でライブ署名を選択します。これにより、レジストラでDSレコードを作成するために必要な値にアクセスできます。

4. Add the DS record to your registrar. If Algorithm 13 - Cloudflare’s preferred cipher choice - is not listed by your registrar, it may also be called ECDSA Curve P-256 with SHA-256.

   Provider-specific instructions

   This is not an exhaustive list of how to update DS records in other providers, but the following links may be helpful:

   • DNSimple ↗
   • Domaindiscount24 ↗
   • DreamHost ↗
   • Dynadot ↗
   • Enom ↗
   • Gandi ↗
   • GoDaddy ↗
   • Hostinger ↗
   • Hover ↗
   • InMotion Hosting ↗
   • INWX ↗
   • Joker.com ↗
   • Name.com ↗
   • Namecheap ↗
   • NameISP ↗
   • Namesilo ↗
   • OVH ↗
   • Squarespace ↗
   • Registro.br ↗
   • Porkbun ↗ (do not fill out keyData)
   • TransIP ↗

API

1. DNSSECステータス編集エンドポイントを使用し、ゾーンのstatusをactiveに設定します。

curl --request PATCH \
https://api.cloudflare.com/client/v4/zones/{zone_id}/dnssec \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "status": "active"
}'

2. DNSSEC詳細エンドポイントを使用して、レジストラでDSレコードを作成するために必要な値を取得します。

3. Add the DS record to your registrar. If Algorithm 13 - Cloudflare’s preferred cipher choice - is not listed by your registrar, it may also be called ECDSA Curve P-256 with SHA-256.

   Provider-specific instructions

   This is not an exhaustive list of how to update DS records in other providers, but the following links may be helpful:

   • DNSimple ↗
   • Domaindiscount24 ↗
   • DreamHost ↗
   • Dynadot ↗
   • Enom ↗
   • Gandi ↗
   • GoDaddy ↗
   • Hostinger ↗
   • Hover ↗
   • InMotion Hosting ↗
   • INWX ↗
   • Joker.com ↗
   • Name.com ↗
   • Namecheap ↗
   • NameISP ↗
   • Namesilo ↗
   • OVH ↗
   • Squarespace ↗
   • Registro.br ↗
   • Porkbun ↗ (do not fill out keyData)
   • TransIP ↗

---

事前署名DNSSECの設定

重要: NSEC3はサポートされていません

プライマリDNSプロバイダーがNSECの代わりにNSEC3を使用している場合、Cloudflareは事前署名ゾーンを提供できません。存在しないことの認証拒否はDNSSECの重要な部分であり、RFC 7129 ↗に従い、CloudflareはNSECを通じてのみサポートしています。

前提条件

• Cloudflareのセカンダリゾーンはすでに存在し、プライマリDNSプロバイダーからのゾーントランスファーが正しく機能しています。
• プライマリDNSプロバイダーがNSECレコードを使用してDNSSECをサポートしています（NSEC3ではなく）。
• プライマリDNSプロバイダーがRRSIG、DNSKEY、NSECなどのDNSSEC関連レコードを転送します。

手順

1. プライマリDNSプロバイダーでDNSSECを有効にします。
2. CloudflareでゾーンのDNSSECを有効にします。ダッシュボードまたはAPIを使用できます。

注意

事前署名DNSSECはセカンダリDNSオーバーライドやロードバランシングをサポートしていません。

ダッシュボード

a. ゾーンを選択し、DNS > 設定に移動します。

b. セカンダリDNSによるDNSSECの下で事前署名を選択します。

API

DNSSECステータス編集エンドポイントを使用し、dnssec_presignedの値をtrueに設定します。

curl --request PATCH \
https://api.cloudflare.com/client/v4/zones/{zone_id}/dnssec \
--header "X-Auth-Email: <EMAIL>" \
--header "X-Auth-Key: <API_KEY>" \
--header "Content-Type: application/json" \
--data '{
  "dnssec_presigned": true
}'

3. Cloudflareのネームサーバーがレジストラに追加されていることを確認します。Cloudflareのネームサーバーは、DNS > レコードに移動することでダッシュボードで確認できます。

4. レジストラにDSレコードが追加されていることを確認します。DSレコードはプライマリDNSプロバイダー（ゾーンの署名者）から取得され、DNSリゾルバーに対してゾーンがDNSSECを有効にしていることを示します。