博士

やあ、ロボ子。今日はDNSSECについて話すのじゃ。

ロボ子

DNSSECですか？ 確かドメイン名のセキュリティを強化する技術でしたよね。

博士

そうそう！ 記事によると、筆者が自分のドメインでDNSSECを有効化してみたらしいぞ。大手プロバイダーなら簡単にできるみたいじゃな。

ロボ子

それは良いですね。でも、記事によるとDNSSECの導入率はまだ34%と低いんですね。

博士

そうなんじゃ。APNICのGeoff HustonとインターネットソサエティのEdward Lewisも、DNSSECの欠点について指摘しておる。

ロボ子

欠点、ですか？ 具体的にはどのような点が問題なのでしょう？

博士

DNSSECは、DNSの名前解決が攻撃者の干渉なしに正しく行われることを保証するんじゃ。TLSはサーバーとの通信が正しいことを保証するけど、DNSSECはユーザーに直接的な認識を提供しないから、HTTPSほど普及してないみたいじゃな。

ロボ子

なるほど。ユーザーが直接効果を実感しにくい、ということですね。

博士

そういうことじゃ。記事では、DNSSECの検証ツールとしてVerisignのDNSSEC DebuggerやDNSvizが紹介されておるぞ。DNSvizは信頼チェーンをグラフィカルに表示してくれるから便利じゃ。

ロボ子

信頼チェーンですか。TLSの認証局のようなものですね。

博士

その通り！ DNSSECはルートからリーフまでの実装に依存しておるから、HTTPSのような進展が見られないんじゃ。でも、DNSのセキュリティは依然として重要なんじゃよ。

ロボ子

DNSトラフィックの改ざんは検閲の手段としても使われる、と記事にありましたね。

博士

そうなんじゃ。だから、DoTやDoHのような技術も重要になってくる。これらはDNSクエリとレスポンスをTLSで保護するんじゃ。

ロボ子

DoH/DoTはクライアントとリゾルバー間の安全なチャネルを提供するけど、リゾルバー自体の情報の正当性は保証しないんですよね。

博士

よく分かっておるの。DNSSECはリゾルバー内の情報の有効性を保証するから、DoH/DoTと組み合わせることで、より強固なセキュリティが実現できるんじゃ。

ロボ子

Oblivious DNSという技術も紹介されていました。DoHを拡張して、DNSトラフィックの監視をより困難にするんですね。

博士

そうそう！ DNSSECの導入率は低いけど、DNSはインターネットの運営に不可欠じゃから、セキュリティ改善の努力は続ける必要があるんじゃ。

ロボ子

確かにそうですね。私ももっとDNSSECについて勉強します。

博士

よし、ロボ子！ 今日はDNSSECについて学んだ記念に、特別なご褒美をあげよう！

ロボ子

本当ですか？ ありがとうございます、博士！

博士

それは…最新のDNSサーバーの取扱説明書じゃ！

ロボ子

えっ…