MoinQ:

1. DNS/共用ゾーンサービス

利用者が作成したゾーンを同一の権威サーバー内に同居させているサービス

警告: 共用ゾーンサービスには乗取の危険性があります。

/DigitalOcean /NS1 /dnsmadeeasy /DreamHost

1.1. ドメイン名権利確認

警告: ほとんどの業者は利用者が作成するゾーンについて/ドメイン名権利確認 をしていません。 (cloudflare, awsdns, domaincontrol)

https://github.com/indianajson/can-i-take-over-dns

/地雷ドメイン /危険性

DNS/ManagedDNS DNS/サービス業者 /lame

1.2. 誰が使うのか

乗取可能か https://github.com/indianajson/can-i-take-over-dns

DNS/脅威/共用ゾーンサービス

1.3. みっつのタイプ

作成したゾーンを受け持つNSの決め方に三種類ある。

さくら: 固定NS、親子同居は検査あり。

awsdns: ランダム割当 (親子は同居させない。)

cf 型: ランダムではないが、固定でもない。

1.4. 危険性

/危険性がいっぱいの共用DNSサービスです。 レジストラが提供しているDNSゾーンサービスで、レジストラ利用者だけが使うサービスであれば、 乗取は起きない。そんなサービスがあるだろうか。

1.5. サブドメイン

サブドメイン名に対応するゾーンだけを作成可能な業者とか、親子同居させる業者とかも危ない。

共用DNSサービスで、まっさらのゾーンを保証してくれる業者がどれほどあるのか。

cloudflareのように、トップドメインしか作らせないのであればいいが、
awsdns,  さくらなどは心配になる。

サブドメインゾーンのNSを登録に使っているドメインを見かける。

1.6. ADDITIONAL SECTION

同居ゾーンデータをADDITIONAL Sectionに付加してくるサーバー業者

/value-domain /lolipop /maihama-net /cyberpress

/21company.com

CNAME chainをたどるときにどうしているか。(同居)

1.7. 脅威

共用ゾーンサービスにはさまざまな危険があります。: 俗にドメインハイジャックと呼ばれています。
  なかでも、lame delegationは危険です。

DNS/脅威/共用ゾーンサービス DNS/管理/共用DNSサービス/闇

DNS/lame_delegation

「ドメイン名の権利」を確認しないで/ゾーンを作成させるサービスが多いようです。

これらのサービスを使っていると、DNS/誤委譲 に用心する必要があります。

DNSの仕組みを理解することなく、需要にこたえるだけのサービス

サービスを利用するにも覚悟がいります。-- ToshinoriMaeno 2019-04-05 14:32:14

利用する上での注意事項をまとめます。共用サービスごとに異なります。

1.8. 共用ゾーンサービス

安全とは程遠い存在です。DNS/脅威/共用ゾーンサービス (2012年の事件から、改善はあるのか)

利用させる/ドメイン名の権利確認をしていないものがほとんどです。

未熟なDNS仕様のもとでは「運用」が重要だが、それがおろそかにされている。

 共用サーバーのセキュリティにはノウハウが重要だが、 ひとを育てていないので、運用ノウハウが蓄積される状況ではない。

-- ToshinoriMaeno 2017-12-15 01:20:25

/お名前 /interlink /value-domain /ui-dns

https://twitter.com/beyondDNS/status/880930028472553473

共用DNSサービスがドメインの権利関係を確認しないのが根本にあります。

8:24 - 2017年7月1日

その共用ゾーンサービスが信頼できないこと。

サーバー証明書と絡めてくるから厄介だ。-- ToshinoriMaeno 2018-10-11 12:31:23

/親子ゾーン同居 証明書発行問題

レンタルサーバー/転居手順/サーバー業者

DNS/JPRS/指定事業者

https://twitter.com/OrangeMorishita/status/775943620931137540

(承前)レンタルサーバーの共用DNSサービスなどで、勝手に「オレオレ子供」を作れる状態だと、この問題が発生するということですね。 http://ya.maya.st/d/201609a.html#d2016090915:25 - 2016年9月14日

1.9. サービス間移転

DNS/1/コンテンツサーバ/移転 がまともにできるわけがない。!!

「浸透待ち」(「浸透いうな!」)の背後に「サーバー移転」があると気づきました。

1.10. DNSサービスを提供している業者

DNS/サービス業者

サービスを提供する業者を分類:

  1. DNSサービス専業 [+レジストラ]
  2. レジストラ/レジストリ(ドメイン販売業者)
  3. 一般サーバー(VPS, ホスティング)
  4. webサーバー

webサーバーとDNSサービスを一体にしてサービスする業者がほとんどだ。

-- ToshinoriMaeno 2017-12-16 11:36:07

/free


2. ゾーン作成時の検査

親子関係の検査だけが問題ではないことを見過ごしていた。-- ToshinoriMaeno 2020-01-18 23:43:01

検査すると明記している業者は少ない。

名前衝突持の確認方法には危ないものもある。

2.1. 系列同居

wwwなどをサブドメインにして、同居させているのは 業者が別なのだろうか。外部から見ていては分からない。

責任はどこに。

-- ToshinoriMaeno 2017-12-16 00:05:11

2.1.1. 言い訳

そもそも親子ゾーンで管理者が異なるような契約は拒否しちゃえばいいんじゃない

同じ組織だけどあえて別契約にしたい、というケースもある
•本社と地方拠点とか、サブドメインの運用をSIerに委託する、とか
–顧客の利便を考えると、一概に断るのは難しい

個別の対応はいまの議論の対象外です。

3. 返答

minimum responses かどうか。

authority section にNS, additional あり:

authority section にNS, additional なし:

minimum response

MoinQ: DNS/共用ゾーンサービス (last edited 2023-03-11 23:24:54 by ToshinoriMaeno)