More Related Content Similar to B1-4 送信ドメイン認証・暗号化 DeepDive ~ DMARCから MTA-STS, DANEまで全部PASSさせるまでの道のり
Similar to B1-4 送信ドメイン認証・暗号化 DeepDive ~ DMARCから MTA-STS, DANEまで全部PASSさせるまでの道のり (6) More from JPAAWG (Japan Anti-Abuse Working Group)
More from JPAAWG (Japan Anti-Abuse Working Group) (20) B1-4 送信ドメイン認証・暗号化 DeepDive ~ DMARCから MTA-STS, DANEまで全部PASSさせるまでの道のり2. 自己紹介
名前 平野 善隆
所属 株式会社クオリティア
チーフエンジニア
資格等 Licensed Scrum Master
Certified Scrum Developer
主な活動 M3AAWG
JPAAWG
IA Japan 迷惑メール対策委員会
迷惑メール対策推進協議会
メッセージング研究所(MRI)
Audax Randonneurs Nihonbashi
13. オランダでの普及率
Het Rejk 国 (政府系??)
全体
https://www.forumstandaardisatie.nl/sites/bfs/files/rapport-meting-informatieveiligheidstandaarden-maart-2020.pdf
14. 一方 日本では
SPF
SPF
-all
DMARC
厳しい
DMARC
DNSSEC STARTTLS MTA-STS DANE
オランダ政府(※1) 94% 92% 94% 59% 93% 98% - 81%
go.jp (※2) 93% 73% 7.0% 1.5% 5.5% 58% 0% 0%
.jp (※3) 62% 11% 1.5% 0.3% 0.04% 54% 0.004%
(13件)
0.002%
(6件)
https://www.forumstandaardisatie.nl/sites/bfs/files/rapport-meting-informatieveiligheidstandaarden-maart-2020.pdf
※1 オランダ政府データ (2020/03)
※2 QUALITIA独自調べ go.jp(全てではない)のうちMXのあるドメイン(サブドメインは含まない)に対する割合 N=330 (2020/11)
※3 QUALITIA独自調べ jpドメイン(全てではない)のうちMXのあるドメイン(サブドメイン含む)に対する割合 N=約32万 (2020/10)
0
20
40
60
80
100
SPF SPF(-all) DMARC 厳しいDMARC DNSSEC STARTTLS DANE
オランダ政府 go.jp .jp
28. SPFの書き方
example.jp TXT "v=spf1 ip4:192.0.2.1 ip4:192.0.2.32/28 –all"
送信元サーバーのIPアドレスを記述する
192.0.2.1からの許可
それ以外は不許可
example.jp TXT "v=spf1 +ip4:192.0.2.1 +ip4:192.0.2.32/28 –all"
許可するものは+。省略可能。
こんな書き方でも同じ
192.0.2.32/28からも許可
34. 間違ったSPFの設定例
example.jp txt "v=spf1 ip4:192.0.2.0/24 –all"
example.jp txt "v=spf1 include:_spf.google.com –all"
SPFのレコードが複数存在する
example.jp txt "v=spf1 ip4:192.0.2.0/24 include:_spf.google.com –all"
×
0.6% (N=約20万)
If the resultant record set includes more than one record,
check_host() produces the "permerror" result.
RFC7208 4.5
37. 間違ったSPFの設定例
example.jp txt "v=spf1 include:spf1.example.jp
include:spf2.example.jp .... –all"
spf1.example.jp txt "v=spf1 たくさんinclude"
DNSのlookupが11回以上
example.jp txt "v=spf1 ip4:192.0.2.0/24 .... –all"
×
0.9% (N=約20万)一番多いのは90回!
38. 間違ったSPFの設定例
example.jp txt "v=spf1 ip:192.0.2.1 -all"
example.jp txt "v=spf1 ipv4:192.0.2.1 -all"
example.jp txt "v=spf1 ip4: 192.0.2.1 -all"
example.jp txt "v=spf1 ip4:192.0.2.1 192.0.2.2 -all"
example.jp txt "v=spf1 ip4:spf.example.jp -all"
example.jp txt "v=spf1 inciude:spf.example.jp -all"
example.jp txt "v=spf1 include:192.0.2.1 -all"
example.jp txt "v=spf1 ip4:192.0.2.1 -all MS=ms12345678"
文法間違い
×
0.5% (N=約20万)
55. DKIM署名の手順
• 本文をCanonicalize いい感じに単純にする
• 本文のHashを作成
• 本文のHashを含む仮のDKIM-Signatureを作成
• 署名するヘッダ + 仮のDKIM-Signatureを
Canonicalize
• それのHashを作成
• 暗号化
• b=に追加
56. 下準備
Private Key / Public Keyの作成
openssl genrsa -out private.pem 2048
openssl rsa -in private.pem -pubout
-out public.key
60. ヘッダのHashを作成
「ヘッダ + 仮のDKIM-Signature」の署名を作成
echo -n 'from:hirano@hirano.cc¥r¥nto:yo@hirano.cc¥r¥nsubject:test¥r¥ndkim-
signature:a=rsa-sha256; c=relax/simple; d=hirano.cc; s=s1; t=163777045;
h=from:to:subject; bh=g3zLYH4xKxcPrHOD18z9YfpQcnk/GaJedfustWU5uGs; b='
| openssl sha256 -sign private.pem -binary
| openssl base64 -e
AciJkTMYYH6s2S/dvrriZlaDJ9uaAd5XjiYGSHc+95K1oFs4xmkhrQKbNwzjbYiW
KOTl3llRPydNNOmnw4LgtRbl0LCLPnOzIXbfklwq0mMGKQhTCeRIdmzJxzoKCwAF
vuWnRBTOJmFLWf4WCs1pqEpYV0SharRW8uCbW8cBGp8p0PWj2q51Fend405KImea
Odknekp9HmhgnuIKFHaLxA/KaW27h+OcUX1W7SdnXDmaEpi3uLJY/HIedxM+aZUa
sFrxzhHsZkJE74ZZMn2xRLcE7VGRB3WgKrJtZCnZ0NuXHle+Fr0KavT3DOX9vQ8x
v/dYwjhNhpwnl9jFtkGT9A==
61. 完成
DKIM-Signature: a=rsa-sha256; c=relax/simple;
d=hirano.cc; s=s1; t=163777045;
h=from:to:subject;
bh=g3zLYH4xKxcPrHOD18z9YfpQcnk/GaJedfustWU5uGs;
b=AciJkTMYYH6s2S/dvrriZlaDJ9uaAd5XjiYGSHc+95K1oFs4xmkhrQKbNwzjbYiW
KOTl3llRPydNNOmnw4LgtRbl0LCLPnOzIXbfklwq0mMGKQhTCeRIdmzJxzoKCwAF
vuWnRBTOJmFLWf4WCs1pqEpYV0SharRW8uCbW8cBGp8p0PWj2q51Fend405KImea
Odknekp9HmhgnuIKFHaLxA/KaW27h+OcUX1W7SdnXDmaEpi3uLJY/HIedxM+aZUa
sFrxzhHsZkJE74ZZMn2xRLcE7VGRB3WgKrJtZCnZ0NuXHle+Fr0KavT3DOX9vQ8x
v/dYwjhNhpwnl9jFtkGT9A==
62. 最近のDKIM事情
•RFC8301: Cryptographic Algorithm and Key Usage Update to
DomainKeys Identified Mail (DKIM) (2018/1月)
・署名も検証もrsa-sha256を使いましょう(MUST)
・rsa-sha1はやめましょう(MUST)
・署名は1024bit以上(MUST)、2048bit以上(SHOULD)
・検証は1024bit~4096bit(MUST)
※ しかし、2048bitはDNSに書けるサイズ255バイトを超えてしまう
なりすまし・改ざんから守る
もう、今どきいいですよね?
有効なRSA署名のうち18%の署名者が2048bitを使用
※クオリティア調べ
63. 最近のDKIM事情
•RFC8463: A New Cryptographic Signature Method for
DomainKeys Identified Mail (DKIM) (2018/9月)
・署名側は実装しましょう(SHOULD)
・検証側は実装必須(MUST)
・後方互換性のために署名はEd25519-SHA256と
RSA-SHA256(1024bit以上)を2つ記述する
Ed25519-SHA256を使いましょう
BASE64後のサイズが44バイトしかないのでDNSの問題もない
なりすまし・改ざんから守る
73. 悪徳グループのSPFで認証 (dmarc p=none)
192.0.2.1
203.0.113.1
Env From: jiro@悪徳グループ.example
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: spf=pass, dmarc=Fail
いつもお世話になっております。
・・・・
悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all”
_dmarc.qualitia.co.jp txt “v=DMARC1; p=none”
dmarc=failだわ。
×
クオリティア
74. 悪徳グループのSPFで認証 (dmarc p=reject)
192.0.2.1
203.0.113.1
Env From: jiro@悪徳グループ.example
From: taro@qualitia.co.jp
Subject: お振り込みください
AR: spf=pass, dmarc=Fail
いつもお世話になっております。
・・・・
悪徳グループ.example txt “v=spf1 ip4:203.0.113.1 –all”
× 届かない
_dmarc.qualitia.co.jp txt “v=DMARC1; p=reject”
×
クオリティア
85. 厳しい設定
smtpd_tls_security_level = may
smtpd_tls_key_file = /etc/letsencrypt/live/example.jp/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/example.jp/fullchain.pem
smtpd_tls_ciphers = high
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1
smtpd_tls_protocols = !SSLv2,!SSLv3,!TLSv1,!TLSv1.1
tls_high_cipherlist = EECDH+AESGCM
tls_preempt_cipherlist = yes
Postfixの場合
91. TLS Protocol Downgrade Attack
送信
サーバ
受信
サーバ
STARTTLS
220 Ready for TLS
ClientHello (TLS1.2でつなぎたいです)
TLS1.2は非対
応なのね
MITMさん
盗み放題
捨てて
しまえ
TLS1.1で
送りましょ
TLS Handshake開始
99. MTA-STSの設定方法
_mta-sts.example.jp txt "v=STSv1; id=20201111010203"
受信するメールアドレス: bob@example.jp
受信メールサーバー: mx.example.jp
DNSの設定
version: STSv1
mode: enforce
mx: mx.example.jp
max_age: 1296000
Webの設定
https://mta-sts.example.jp/.well-known/mta-sts.txt
none
testing
enforce
*.example.jpのようにも書けます
104. レポートの例 (問題ない場合)
{
"organization-name": "Google Inc.",
"date-range": {
"start-datetime": "2020-09-07T00:00:00Z",
"end-datetime": "2020-09-07T23:59:59Z"
},
"contact-info": "smtp-tls-reporting@google.com",
"report-id": "2020-09-07T00:00:00Z_hirano.cc",
"policies": [
{
"policy": {
"policy-type": "sts",
"policy-string": [
"version: STSv1",
"mode: testing",
"max_age: 86400",
"mx: *.hirano.cc"
],
"policy-domain": "hirano.cc"
},
"summary": {
"total-successful-session-count": 5,
"total-failure-session-count": 0
}
}
]
}
成功 5通
失敗 0通
105. レポートの例 (問題のある場合)
{
"organization-name": "Google Inc.",
"date-range": {
"start-datetime": "2019-10-01T00:00:00Z",
"end-datetime": "2019-10-01T23:59:59Z"
},
"contact-info": "smtp-tls-reporting@google.com",
"report-id": "2019-10-01T00:00:00Z_hirano.cc",
"policies": [
{
"policy": {
"policy-type": "sts",
"policy-string": [
"version: STSv1",
"mode: testing",
"max_age: 86400",
"mx: *.hirano.cc"
],
"policy-domain": "hirano.cc"
},
"summary": {
"total-successful-session-count": 0,
"total-failure-session-count": 55
},
失敗 55通
"failure-details": [
{
"result-type": "validation-failure",
"sending-mta-ip": "209.85.219.198",
"receiving-ip": "210.158.71.76",
"receiving-mx-hostname": "ah.hirano.cc",
"failed-session-count": 2
},
{
"result-type": "starttls-not-supported",
"sending-mta-ip": "209.85.222.201",
"receiving-ip": "210.158.71.76",
"receiving-mx-hostname": "ah.hirano.cc",
"failed-session-count": 1
},
.... 省略 ....
]
}
]
}
114. DNSSECのトラストチェイン
example.jp. IN MX 10 mail.example.jp.
DNSKEY (ZSK)
DNSKEY (KSK)
DNSKEY (ZSK)
DNSKEY (KSK)
DS
署名
署名
Hashを預ける
署名
署名
DNSKEY (ZSK)
DNSKEY (KSK)
DS
署名
署名
example.jpのzone
ルートのzone
jpのzone
Hashを預ける
118. DANEの設定方法
openssl x509 -in cert.pem -pubkey -noout
| openssl rsa -pubin -outform DER
| openssl sha256
(stdin)= 293f3944e435835ec797acbbe52ffb1bc8e
6637879fbe62d9b6195479e01f67e
Public KeyのHashを作成
119. DANEの設定方法
openssl s_client -connect mx1.example.jp:25 -starttls smtp < /dev/null
| openssl x509 -pubkey –noout
| openssl rsa -pubin -outform DER
| openssl sha256
(stdin)= 293f3944e435835ec797acbbe52ffb1bc8e
6637879fbe62d9b6195479e01f67e
はじめての設定なら、
サーバーから証明書を取り出すのもあり
120. DNSに追加
_25._tcp.mx1.example.jp TLSA 3 1 1 293f3944e...
メールサーバー
メールアドレスのドメイン部分ではありません!
受信するメールアドレス: bob@example.jp
受信メールサーバー: mx1.example.jp
0: Hashなし
1: SHA256
2: SHA512
※TLSのKeyを入れ替えるときにはTLSAレコードを
先に書いて、DNSのキャッシュ期間が過ぎたらメー
ルサーバーの設定を新しいKeyに変更し、古いTLSA
レコードを削除します。
125. 経路暗号化まとめ
何もなし STARTTLS MTA-STS DNSSEC DANE zip暗号化
経路上の暗号化 × ○ ○ - ○ △
STARTTLS
Downgrade攻撃 - × ○ -
○
-
TLS Protocol
Downgrade攻撃 - × ○ - △ -
偽の証明書 - × × - ○ -
なりすまし受信 × × × ○ ○ ×
○ 安全
△ 安全であるが完全ではない
× 安全ではない
- 影響を受けない
131. まとめ
• DMARC 使いましょう
• STARTTLS 使いましょう
• MTA-STS 使いましょう
• DNSSEC 使いましょう
• DANE 使いましょう
• internet.nlで100点になるまでの道は険しい
• オランダすごいよ
Thank You!
135. ARCがあれば
arc=passですね。
Private Key
クオリティア
メーリングリスト
サーバ
ml.example.jp
ARC-Seal: i=1; cv=none; d=ml.example.jp;...
ARC-Message-Signature: i=1; d=ml.example.jp;
h=from:subject:dkim-signature:...
ARC-Authentication-Result: i=1; ml.example.jp;
dkim=pass; spf=pass; dmarc=pass
DKIM-Signature: v=1; d=qualitia.co.jp; b=abcdef・・・・
From: taro@qualitia.co.jp
Subject: [○○ML:1234]久しぶりの投稿
AR: dkim=fail, arc=pass
こんにちは。おひさしぶりです。
・・・・
147. dig コマンドで確認
DNSSEC非対応ドメイン
dig qualitia.co.jp
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23896
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; ANSWER SECTION:
qualitia.co.jp. 1443 IN A 54.65.37.180
DNSSEC非対応ドメイン + DNSSEC非対応リゾルバー
DNSSEC非対応ドメイン + DNSSEC対応リゾルバー
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6419
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; ANSWER SECTION:
qualitia.co.jp. 3600 IN A 54.65.37.180
同じです
148. dig コマンドで確認
DNSSEC対応ドメイン
dig mail.interlingua.co.jp
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17088
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; ANSWER SECTION:
mail.interlingua.co.jp. 0 IN A 210.158.71.76
DNSSEC対応ドメイン + DNSSEC非対応リゾルバー
DNSSEC対応ドメイン + DNSSEC対応リゾルバー
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 10109
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; ANSWER SECTION:
mail.interlingua.co.jp. 300 IN A 210.158.71.76
同じです
DNSSEC対応ドメインは
adフラグが付きます
149. dig コマンドで確認
なりすまされているDNSSEC対応ドメイン
dig dnssec-failed.org
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 14060
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; ANSWER SECTION:
dnssec-failed.org. 6510 IN A 69.252.80.75
DNSSEC対応ドメイン + DNSSEC非対応リゾルバー
DNSSEC対応ドメイン + DNSSEC対応リゾルバー
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 63229
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1
DNSSEC対応リゾルバーでは
SERVFAILになります
IPは返りません
DNSSEC非対応リゾルバーは
答えを返してしまいます
adフラグはありません
VPNを使っているとご自宅のDNSサーバーから
SERVFAILを受け取っても、その後、会社のDNSサー
バーに聞きに行ってNOERRORになるかも知れません
152. レコードセットの署名
•dig +dnssec interlingua.co.jp mx
interlingua.co.jp. 294 IN MX 10 mail.interlingua.co.jp.
interlingua.co.jp. 294 IN RRSIG MX 13 3 300 20200817003038 20200802230038
55501 interlingua.co.jp. g5r2rLGrbrX6aYap2p/wDgJgL/LWs18/aQRtZAKDYQxFkF6eQg0Xy0c/
pNdysOWDNRQxO/4zom+Wvb87YwYl+g==
interlingua.co.jp. 6 IN DNSKEY 256 3 13 (
6zijMNFnm5+VuhJQqRG6ehQy0aDjOXYXZmx7yTL46TKp
RI9p9cCx+aDBhzwa5eK19vCf1MiVoMqIVDBqvFoU8g==
) ; ZSK; alg = ECDSAP256SHA256 ; key id = 55501
interlingua.co.jp. 6 IN DNSKEY 257 3 13 (
rpYAYd2eS/tow2Be8qrAMHQkl4Lwxp5fsSPQmt9137/s
3mDX72NyvjXIdYaNcPPUEh5F4FM4iyylFtx9LS4CvA==
) ; KSK; alg = ECDSAP256SHA256 ; key id = 63661
•dig +multi interlingua.co.jp dnskey
署名
公開鍵
署名した人
153. レコードセットの署名
interlingua.co.jp. 294 IN MX 10 mail.interlingua.co.jp.
interlingua.co.jp. 294 IN RRSIG MX 13 3 300 20200817003038 20200802230038
55501 interlingua.co.jp. g5r2rLGrbrX6aYap2p/wDgJgL/LWs18/aQRtZAKDYQxFkF6eQg0Xy0c/
pNdysOWDNRQxO/4zom+Wvb87YwYl+g==
interlingua.co.jp. 6 IN DNSKEY 256 3 13 (
6zijMNFnm5+VuhJQqRG6ehQy0aDjOXYXZmx7yTL46TKp
RI9p9cCx+aDBhzwa5eK19vCf1MiVoMqIVDBqvFoU8g==
) ; ZSK; alg = ECDSAP256SHA256 ; key id = 55501
署名
公開鍵
権威DNSサーバーはMXレコードセットのHashをZSK(Zone Signing Key)の秘密鍵で暗号化し、
RRSIG MXとして公開
フルリゾルバーはRRSIGをZSKの公開鍵で復号し、MXレコードセットのHashと合っているかどう
かを確認
MXレコードセットはZSKの所有者interlingua.co.jpが書いたものから改ざんされていないことがわかる
156. 公開鍵の署名
•dig +dnssec +multi interlingua.co.jp dnskey
interlingua.co.jp. 300 IN DNSKEY 256 3 13 (
6zijMNFnm5+VuhJQqRG6ehQy0aDjOXYXZmx7yTL46TKp
RI9p9cCx+aDBhzwa5eK19vCf1MiVoMqIVDBqvFoU8g==
) ; ZSK; alg = ECDSAP256SHA256 ; key id = 55501
interlingua.co.jp. 300 IN DNSKEY 257 3 13 (
rpYAYd2eS/tow2Be8qrAMHQkl4Lwxp5fsSPQmt9137/s
3mDX72NyvjXIdYaNcPPUEh5F4FM4iyylFtx9LS4CvA==
) ; KSK; alg = ECDSAP256SHA256 ; key id = 63661
interlingua.co.jp. 300 IN RRSIG DNSKEY 13 3 300 (
20200817003032 20200802230032 63661 interlingua.co.jp.
6GYbqK+/csGs3SW70LdxvHwAHM+AAGem6G4vK4OvrJWu
4lQesbZTVO9fXHIfkSZnx0QqppKSEt9SBhUdVF91lg== )
署名
KSKの公開鍵
ZSKの公開鍵
権威DNSサーバーはDNSKEYレコードセットのHashをKSK(Key Signing Key)の秘密鍵で暗号化し、
RRSIG DNSKEYとして公開
公開鍵はKSKの所有者interlingua.co.jpが書いたものから改ざんされていないことがわかる
158. 鍵のHash(DS)を親Zoneに預ける
interlingua.co.jp. 300 IN DNSKEY 257 3 13 (
rpYAYd2eS/tow2Be8qrAMHQkl4Lwxp5fsSPQmt9137/s
3mDX72NyvjXIdYaNcPPUEh5F4FM4iyylFtx9LS4CvA==
) ; KSK; alg = ECDSAP256SHA256 ; key id = 63661
KSKの公開鍵のHash。
DSと呼びます
KSKの公開鍵
KSK(Key Signing Key)の公開鍵のHashを親のZoneに登録しておく
•dig interlingua.co.jp ds
interlingua.co.jp. 4520 IN DS 63661 13 2
975FAD7B7EF66EEB94F2D364EE1B8A84D9F87C445655FB383A064BD4 78D726DC
このレコードはjp.のzoneに存在
interlingua.co.jpのKSKの公開鍵が改ざんされていないことをjpが保証する
159. 親ZoneでDSを署名
•dig +dnssec interlingua.co.jp ds
interlingua.co.jp. 4087 IN DS 63661 13 2
975FAD7B7EF66EEB94F2D364EE1B8A84D9F87C445655FB383A064BD4 78D726DC
interlingua.co.jp. 4087 IN RRSIG DS 8 3 7200 20200831174502 20200801174502
32163 jp. N8AnyWRKCGnaZmsLPhvkOoUuhKKzwNcPvATKCr4dzTCcmaWFpNDKNEU7
gddNckfgg2VxtRpvV2ZT5MPcwhWpqWM1O7p+TxX3fz3pYm/7RjoCjvK6
p5n4IdSmkHCT+9ThHD3popKUWXI/KtXkgXUCkFatkTFxt9uTJOmsXxN/ OVs=
jp. 86394 IN DNSKEY 256 3 8 (
AwEAAa9eY9Ns9TIFqb+iYkU9C7n80Y0M1L2NZcEbvmCJ
frJqQC09tA+7TJbJ7y3k5q+wtYznOpGY1v2qbeTaEbaR
vr7ZFa/OQUZbl7yE7qNDNVl7+s5/zXFq09hRWoFFaWgY
5rC75FmeVambDibge+G0yIGNsD1PsYQ/7oG3mujg+0jn
) ; ZSK; alg = RSASHA256 ; key id = 32163
•dig +multi jp dnskey
署名
公開鍵
署名した人
161. DNSSECのトラストチェイン
interlingua.co.jp. IN MX 10 mail.interlingua.co.jp.
DNSKEY (ZSK)
DNSKEY (KSK)
DNSKEY (ZSK)
DNSKEY (KSK)
DS
署名
署名
Hashを預ける
署名
署名
DNSKEY (ZSK)
DNSKEY (KSK)
DS
署名
署名
interlingua.co.jpのzone
ルートのzone
jpのzone
Hashを預ける