AzureでDNSSECサポートがGAされたので、DNSSECの仕組みを理解しながら試してみました！

DNSサーバーへの問い合わせ結果をデジタル署名を使って検証する技術で、真正性（正規のDNSサーバーが応答した値であること、値が改竄されていないこと）を確保することができます。

DNSキャッシュポイズニングなどの攻撃に対する対策となりうるものですが、サーバーとクライアントの両方がDNSSECに対応している必要があります。

1. まずはDNSSECの設定は行わず、Azure DNSでAレコードを登録して問い合わせ結果を確認します。
2. Azure DNSでDNSSECの設定を有効化して動作を確認します。
3. 最後にDNSSECによる署名の発行と検証の仕組みについて解説します。

PoC構成

Azure DNS Public Zoneでcontoso.comゾーンを作成します。
まずはDNSSECは設定せず、Aレコードだけ登録しておきます。

なお、ドメインはAWSのRoute53で購入しており、ネームサーバーとしてAzure DNSを使っています。
AzureでもApp Service Domainを使うとドメインの購入ができるのですが、DNSSECの設定で必須となるレジストラを通した上位ゾーン（例えば.com）へのDSレコード登録に対応していません。
AWSのRoute53は上位ゾーンへのDSレコード登録に対応しているので、ドメインだけ購入してAzure DNSのPublic ZoneでDNSレコードをホストするという形をとっています。

https://zenn.dev/mrt/articles/a2e3573c392b62

動作確認（DNSSEC設定なし）

digコマンドでAレコードの問い合わせを行うと、Azure DNSに設定している値（10.0.0.1）が取得されます。

$ dig contoso.com. @8.8.8.8

; > DiG 9.16.50 > contoso.com. @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER

まだDNSSECの設定は行なっていないので、digコマンドにDNSSECデータを要求する+dnssecオプションをつけても、取得される内容に変化はありません。

$ dig +dnssec contoso.com. @8.8.8.8

; > DiG 9.16.50 > +dnssec contoso.com. @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER

DNSSECの有効化

Azure DNSでDNSSECを有効化

Azure PortalでDNSゾーンを開き、DNSSEC を有効にするをオンにします。Azure DNSの設定としてはこれだけでOKです。

有効化すると、署名の発行と検証に使用するキーペア（秘密鍵と公開鍵）が２組（ZSKとKSK）作成されます。（ZSKとKSKについては後で解説します）
親ゾーン（.com）にDSレコードとしてKSK公開鍵のハッシュを登録するまでは、状態表示が署名済みですが委任されていませんとなります。（DSレコードについても最後に解説します）

親ゾーンのDSレコード登録に使用するKSK公開鍵も表示されているので、控えておきます。（Azure PortalのPublic key欄）

ドメインのレジストラで上位ゾーンにDSレコードを登録

親ゾーン（.com）にDSレコードとしてKSK公開鍵のハッシュを登録します。
今回はDSレコードの登録に対応しているレジストラのAmazon Route 53でドメインを購入しているので、AWS Management ConsoleでDSレコードの登録を行います。

ドメインはAWSのRoute53で購入しているので、AWSマネジメントコンソールのRoute53で取得したドメインを開き、DNSSECキーの追加を押下します。

Azure DNSでDNSSECを有効化した際に表示されていたKSK公開鍵の値をコピペして追加すると、そのハッシュ値が生成されDSレコードとして親ゾーン(.com)に登録されます。

digコマンドで親ゾーン（.com）のDSレコードを参照すると、KSK公開鍵のハッシュ値が登録されたことが確認できます。

$ dig @"$(dig +short com. NS | head -n 1)" +noall +answer +norecurse +nosplit contoso.com. DS
contoso.com.             86400   IN      DS      55790 13 2 ED4E3A5BB244F5807CA5D2149EB69B29C3F71C386395C342E4461F483A1DD69B

Azure DNSでDNSSECの状態を確認

Route53でDSレコード登録後にAzure DNSのDNSSECパネルを開くと、状態が署名済みで、委任が確立されましたに変わったことが確認できます。

動作確認（DNSSEC設定あり）

digコマンドにDNSSECデータを要求する+dnssecオプションをつけて実行してみると、flagsがflags: qr rd ra;からflags: qr rd ra ad;に変わっており、adが出力されるようになりました。
また、ANSWER SECTIONでRRSIGレコードも取得されています。

flagsのadはAuthentic Dataの略で署名の検証に成功したことを示します。
RRSIGレコードはリソースレコード（Aレコード）に対する署名で、これを用いて問い合わせ結果の真正性を検証しています。

$ dig +dnssec contoso.com. @8.8.8.8

; > DiG 9.16.50 > +dnssec contoso.com. @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER

権威DNSサーバーの応答がなりすまされている状態を再現するため、親ゾーン（.com）のDSレコードに不適切なハッシュを登録してみます。
その状態でdigコマンドを実行すると署名の検証に失敗するので、flagsにadが出力されず、statusもSERVFAILとなります。

$ dig +dnssec contoso.com. @8.8.8.8

; > DiG 9.16.50 > +dnssec contoso.com. @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER

どのような仕組みで、署名の発行と検証が行われたのかを解説します。

DNSSECで使用されるDNSレコード

まず、DNSSECでは通常のリソースレコード以外に、RRSIGレコードとDNSKEYレコードが使用されます。

• リソースレコード
  • 通常のDNS問い合わせで応答しているAレコードなどのDNSサーバーで管理しているレコード。
• RRSIGレコード（DNSSEC専用）
  • リソースレコードの署名。
  • 署名対象のレコードによって使用する秘密鍵が異なる。
    • リソースレコードの署名にはZSK秘密鍵を使用する。
    • DNSKEYレコードセットの署名にはKSK秘密鍵を使用する。
• DNSKEYレコード（DNSSEC専用）
  • RRSIGレコードの検証に使用する公開鍵。
  • DNSKEYレコードは、ZSK公開鍵とKSK公開鍵の２レコードある。

２種類（ZSK、KSK）のキーペア（秘密鍵と公開鍵）

ややこしいのですが、DNSSECでは２種類（ZSK、KSK）のキーペアが使用されます。
署名対象のレコードによって、使用するキーペアが異なります。

digコマンドでDNSKEYレコードの問い合わせを行うと、ZSKとKSKの公開鍵を確認することができます。
RRSIGレコードはDNSKEYレコードセットの署名です。KSKのDNSKEYレコードと、RRSIGレコードのkey id 55790が一致しており、KSKで署名されていることが分かります。

$ dig +dnssec +multi contoso.com. dnskey @8.8.8.8

; > DiG 9.16.50 > +dnssec +multi contoso.com. dnskey @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER

DNSSECの流れ

1. DNSSECを有効化すると、権威DNSサーバー（Azure DNS contoso.comゾーン）上に２種類（ZSK、KSK）のキーペア（秘密鍵と公開鍵）が作成されます。
2. フルサービスリゾルバ（キャッシュDNSサーバー）は、権威DNSサーバー（Azure DNS contoso.comゾーン）にリソースレコード（Aレコードなど）の問い合わせを行います。
3. 権威DNSサーバーは、ZSK秘密鍵を用いて問い合わせレコードの署名を作成し、署名をRRSIGレコードとして問い合わせ結果と併せて応答します。
4. フルサービスリゾルバ（キャッシュDNSサーバー）は、権威DNSサーバー（Azure DNS contoso.comゾーン）にDNSKEYレコードの問い合わせを行い、DNSSECのZSK公開鍵を取得します。
5. フルサービスリゾルバ（キャッシュDNSサーバー）は、公開鍵を用いてRRSIGレコードの署名を検証します。

このような流れで、RRSIGレコードとDNSKEYレコードを組み合わせて、正規のDNSサーバーが応答した値であること、値が改竄されていないことを検証しています。

DNSKEYレコードの公開鍵の真正性

DNSKEYレコードで署名の検証に使用する公開鍵を受け取るのですが、RRSIGレコードもDNSKEYレコードもどちらも同じDNSサーバーから取得しています。
もし、偽装されたDNS応答であったとしても、DNSKEYレコードを用いたRRSIGレコードの検証は成功してしまうことになります。
そのため、公開鍵そのものも正規のものであるかを検証する必要があります。

ZSK公開鍵を含むDNSKEYレコードセットは、KSK秘密鍵で署名され、KSK公開鍵で検証されます。
KSK公開鍵の検証には、上位ゾーン（例えば.com）に登録しておいたDSレコードを使用します。
KSK公開鍵のハッシュを上位ゾーンにDSレコードとして登録しておき、DNSKEYレコードのKSK公開鍵がDSレコードのハッシュと一致していることを検証することによって、公開鍵の真正性を担保します。

親ゾーンのDSレコードもRRSIGレコードでまた検証して…と、これをルートゾーンまで遡って検証していく仕組みになっています。これを信頼の連鎖と言うそうです。

DNSSECのテスト

https://dnsviz.net を使うと、対象ドメインからルートゾーンまでのDNSSEC信頼チェーンが正しく構成できているかをテストすることができます。

最後に

DNSSECの仕組みを理解しながら、Azure DNSで実際に試してみました！
Azure PortalでDNSSECの有効化は簡単に行えますが、キーペアのロールオーバー、特にKSKを置き換える場合は親ゾーンのDSレコードの更新など、実際の運用で使うのは結構大変そうな印象を受けました。
Azure DNSにはまだ他にもいろいろな機能があるので、今後も試しながら更に理解を深めていきたいと思います！

CSSはまだ温かいファジーを与えてくれます。私たちは過去数年間、非常に多くの素晴らしいCSS機能を手に入れました。しかし、それらの機能が組み合わされているとき、私はしばしばun然とし、今後の表面を引っ掛けるだけであることを考えています。

Adam Argyleの新しいデモを取ります 「レスポンシブアプリスイッチャー」。あなたがたまたまiOSユーザーである場合、あなたはあなたがいるそのインターフェイスからのルックアンドフィールを認識するかもしれません スワイプします そして、最近のオープンアプリから選択しています。

このデモでは、AdamはCSSグリッドレイアウトを使用しており、 grid-auto-flow 要素を列に並べて、必要な水平スペースをとるだけです。彼はスクロールスナップを使用して、それぞれがそれらを「カード」と呼び、満足のいく場所にスナップしましょう。最初と最後に目に見えないカードを含むスナップには、最終的なスクロールがまだ弾力性のある弾力性のある感覚を持っていることに、いくつかのボーナストリックがあります。物事はサイズがあります aspect-ratio そして論理的特性、そして全体的な容器は文字通り container コンテナユニットでサイジングを行うことができるように。満足のいく「シュリンクがスクロールする」という影響は、スクロール駆動型のアニメーションで行われ、スタイルは適切な尺度のためにレイヤーで適用されます。

そうです たくさん 最新のCSS機能の。

私の心がどこにあるのか：もっと！もっと！もっと！

代わりに各カードがブログの郵便番号であると想像できませんか？必要に応じて、より多くのスクロール駆動型のアニメーションで縮小するヒーローイメージで、少しスクロールすることができます。

各カード内の要素がコンテナユニットとコンテナクエリによって完全に処理されるすべてのサイズとレイアウトを想像できませんか？一部のカードは、その重要性によって異なるサイズのサイズであるため、ユニークなレイアウトがあります。

これらのブログの投稿カードをクリックして、ビューの移行が始まり、カードをフルスクリーンのブログ投稿に拡張することを想像できませんか？

phew。私たちは見始めています いくつかの そのようなものですが、通常はデモとそれほど少ない制作ウェブサイトです。しかし、私たちはすぐにそうします。このようなものの多くは完全に進歩的な領域にあり、サポートはおそらくあなたが思っているよりも優れており、すぐに動いています。

私はあなたのためにいくつかの素晴らしいCSSリンクを持っています、その多くは私がちょうど話していた空想と新しいものと一致しています。

• Ahmad Shadedは、CSSの概念に関する非常によく作られた記事の絶対的なホストで、今年のCSSブログの究極のゴールドの星を獲得します。 CSSグリッドで骨を折る必要がある場合、それがあなたのものかもしれません 最も優先順位を付ける必要があります （THX GOLD -STAR CSS Blogger Miriam Suzanne）、Ahmadの記事に関する記事 CSSグリッド領域 行くのに最適な場所です。確かに、それはグリッドをセットアップすることについての部分的なことですが、それはすべてのサービスです。 グリッドに物を置く。
• それがあなたと一緒にクリックした場合は、より厳しいフォーカスの投稿を続けてくださいahmadの投稿 ギャップ、 より良いターゲットサイズを設計します、 そして キャップユニット。
• ジョシュ・コモーは金の⭐⭐️スターCSSブロガーでもあり、私はおそらくすでにそれにリンクしていますが、彼の CSSグリッドへのインタラクティブガイド 素晴らしいです。それから時々ジョシュは彼の焦点を次のようなものできつく締めます DOMの折りたたみます、これはかなりシンプルなインタラクティブなアイデアであり、そこに約1億個の小さなレッスンが隠れています。
• ゴールドに参加することは、Star CSSブログの争いに参加するのはBramusです。Googleでの地位は、CSS機能の重要な詳細への最前列に本当にアクセスできると思います。私は知っています overflow: clip 最近では、クールな副作用があります 方向のオーバーフローを行うことができます 私たちがこれまでにできなかったこと。しかし Bramusは、スクロール駆動型のアニメーションと組み合わされて非常に便利だと指摘しています、スクロールコンテナを作成せず、潜在的にビュータイムラインを台無しにするためです。
• 私はこれのために完全にゆっくりと拍手しています 108 CSSローダーのコレクション。それらはすべてかなり楽しくて上品で、正直なところ、もっと楽しいローダーを使用するアプリを望んでいます。まあ、実際には、彼らがより速くなることを願っています。
• これを残してもらいましょう。ケビン・パウエル、別の金⭐️スターCSS’rが持っていた CSSデーでの素晴らしい講演 について 複雑さを受け入れる 特定のCSSソリューションで。精神の一部は、CSSがしばらく存在しており、いくつかのことにかなり確立されたパターンがあることです。 「同じこと」を行う新しいソリューションが登場すると、それらは不必要または過剰な複雑さえ見られます。もしあなたがその気持ちを得たなら、それはそれが馴染みが少ないからだからです。もしそうなら、それは解決策を少し広く開く時が来るかもしれません 得る もっと馴染みがあります。

　A3（エースリー）は、「初音ミク×クッピーラムネ」POP UP STOREを4月4日からeeo POP-UP STORE、6月6日からはアニメイト札幌・名古屋にて順次開催する。また、通販サイト「eeo Store online」でも4月4日よりコラボグッズが販売。

　POP UP STOREでは「初音ミク」と「クッピーラムネ」とのコラボグッズが販売されている。

　新作グッズと購入特典には、初音ミクを含む「ピアプロキャラクターズ」の6人（初音ミク・鏡音リン・鏡音レン・巡音ルカ・MEIKO・KAITO）が登場。デザインには「クッピーラムネ」のレトロな世界観が可愛い“デフォルメイラスト”と、イラストレーター・へいわ先生による美麗な“等身イラスト”がラインナップ。

□「eeo Store online」の「ピアプロキャラクターズ×クッピーラムネ」ページ