= DNS/共用ゾーンサービス = <> <> 利用者が作成したゾーンを同一の権威サーバー内に同居させているサービス 複数のゾーンを同一のサーバーでサービスすると、おかしなことが起きる。 ゾーンサーバーの実装に問題がある。-- ToshinoriMaeno <> {{{ 警告: 共用ゾーンサービスには乗取の危険性があります。 }}} [[/DigitalOcean]] [[/NS1]] [[/dnsmadeeasy]] [[/DreamHost]] == ドメイン名権利確認 == 警告: ほとんどの業者は利用者が作成するゾーンについて[[/ドメイン名権利確認]] をしていません。 (cloudflare, awsdns, domaincontrol) [[/ドメイン名権利確認]] を行う業者を探しています。 [[/minibird]] https://github.com/indianajson/can-i-take-over-dns [[/地雷ドメイン]] [[/危険性]] [[DNS/ManagedDNS]] [[DNS/サービス業者]] [[/lame]] <> == 誰が使うのか == DNS権威サーバーを動かしたくないひと、動かせないひとなど。セカンダリサーバー(slave)を必要とするひと。 乗取可能か https://github.com/indianajson/can-i-take-over-dns [[DNS/脅威/共用ゾーンサービス]] == みっつのタイプ == 作成したゾーンを受け持つNSの決め方に三種類ある。 さくら: 固定NS、親子同居は検査あり。 awsdns: ランダム割当 (親子は同居させない。) cf 型: ランダムではないが、固定でもない。 委譲の存在を避けているようで、そうでもない。 == 危険性 == [[/危険性]]がいっぱいの共用DNSサービスです。 レジストラが提供しているDNSゾーンサービスで、レジストラ利用者だけが使うサービスであれば、 乗取は起きない。そんなサービスがあるだろうか。 == サブドメイン == サブドメイン名に対応するゾーンだけを作成可能な業者とか、親子同居させる業者とかも危ない。 {{{ 共用DNSサービスで、まっさらのゾーンを保証してくれる業者がどれほどあるのか。 cloudflareのように、トップドメインしか作らせないのであればいいが、 awsdns, さくらなどは心配になる。 }}} サブドメインゾーンのNSを登録に使っているドメインを見かける。 == ADDITIONAL SECTION == 同居ゾーンデータをADDITIONAL Sectionに付加してくるサーバー業者 [[/value-domain]] [[/lolipop]] [[/maihama-net]] [[/cyberpress]] [[/21company.com]] CNAME chainをたどるときにどうしているか。(同居) == 脅威 == {{{ 共用ゾーンサービスにはさまざまな危険があります。: 俗にドメインハイジャックと呼ばれています。 なかでも、lame delegationは危険です。 }}} [[DNS/脅威/共用ゾーンサービス]] [[DNS/管理/共用DNSサービス/闇]] [[DNS/lame_delegation]] 「ドメイン名の権利」を確認しないで[[/ゾーンを作成]]させるサービスが多いようです。 これらのサービスを使っていると、[[DNS/誤委譲]] に用心する必要があります。 ドメイン名[[/ハイジャック]]される危険性を抱えています。 DNSの仕組みを理解することなく、需要にこたえるだけのサービス 委譲されていないなら、どんなゾーンがあっても平気だという誤解が原因だろう。(ほとんどの業者) サービスを利用するにも覚悟がいります。-- ToshinoriMaeno <> [[DNS/レジストラサービス]]もあわせて勉強しましょう。DNS初心者向けの説明はむずかしい。 [[DNS/サービス]] [[/規模]] 利用する上での注意事項をまとめます。共用サービスごとに異なります。 リゾルバーでできる対策もありますが、実装はされていないでしょう。 == 共用ゾーンサービス == 安全とは程遠い存在です。[[DNS/脅威/共用ゾーンサービス]] (2012年の事件から、改善はあるのか) 利用させる[[/ドメイン名の権利確認]]をしていないものがほとんどです。   [[DNS/脅威/共用ゾーンサービス/さくら]]は登録の条件を公表しているだけまし、という状態です。 {{{ 未熟なDNS仕様のもとでは「運用」が重要だが、それがおろそかにされている。 }}}  共用サーバーのセキュリティにはノウハウが重要だが、 ひとを育てていないので、運用ノウハウが蓄積される状況ではない。 -- ToshinoriMaeno <> [[/お名前]] [[/interlink]] [[/value-domain]] [[/ui-dns]] https://twitter.com/beyondDNS/status/880930028472553473 共用DNSサービスがドメインの権利関係を確認しないのが根本にあります。  余計な返事(CNAME関連で)をするゾーンサーバーを使っていると、  運用妨害される可能性がある。(外部名を使っていたとき)  これを理解できるひとは他に何人? 8:24 - 2017年7月1日 その共用ゾーンサービスが信頼できないこと。 DNSサーバーをやっと動かすことができた程度の技術者しかいないのに、おまけとしてDNSサービスを提供している。 サーバー証明書と絡めてくるから厄介だ。-- ToshinoriMaeno <> [[/親子ゾーン同居]] 証明書発行問題 [[レンタルサーバー/転居手順/サーバー業者]] [[DNS/JPRS/指定事業者]] [[DNS/管理/ドメイン/取得]] https://twitter.com/OrangeMorishita/status/775943620931137540 (承前)レンタルサーバーの共用DNSサービスなどで、勝手に「オレオレ子供」を作れる状態だと、この問題が発生するということですね。 http://ya.maya.st/d/201609a.html#d20160909 … 15:25 - 2016年9月14日 == サービス間移転 == [[DNS/1/コンテンツサーバ/移転]] がまともにできるわけがない。!! 「浸透待ち」(「浸透いうな!」)の背後に「サーバー移転」があると気づきました。 そして、サーバー移転の裏に「DNSサーバーの同時移転」があることにも。 さらに、共用ゾーンサービスが使われていること。 == DNSサービスを提供している業者 == [[DNS/サービス業者]] サービスを提供する業者を分類: 1. DNSサービス専業 [+レジストラ] 2. レジストラ/レジストリ(ドメイン販売業者) 3. 一般サーバー(VPS, ホスティング) 4. webサーバー webサーバーとDNSサービスを一体にしてサービスする業者がほとんどだ。 レジストラであっても、管理しているドメイン名以外も登録させていると、危ないかも。 -- ToshinoriMaeno <> [[/free]] ----- = ゾーン作成時の検査 = 親子関係の検査だけが問題ではないことを見過ごしていた。-- ToshinoriMaeno <> lame delegationを利用した乗取が行えるようなサービスが多い。 検査すると明記している業者は少ない。  他社で取得したドメイン名を登録させるところも多い。   さくらの検査はよさそう。-- ToshinoriMaeno <> 名前衝突持の確認方法には危ないものもある。 == 系列同居 == wwwなどをサブドメインにして、同居させているのは 業者が別なのだろうか。外部から見ていては分からない。 責任はどこに。 -- ToshinoriMaeno <> === 言い訳 === そもそも親子ゾーンで管理者が異なるような契約は拒否しちゃえばいいんじゃない {{{ 同じ組織だけどあえて別契約にしたい、というケースもある •本社と地方拠点とか、サブドメインの運用をSIerに委託する、とか –顧客の利便を考えると、一概に断るのは難しい }}} 個別の対応はいまの議論の対象外です。 = 返答 = minimum responses かどうか。 authority section にNS, additional あり: *.gmoserver.jp, ns*.sphere.ad.jp, ns*.cpi.ad.jp [a.ns.qmail.jp] authority section にNS, additional なし: awsdns, dns.ne.jp, 02.dnsv.jp, dns-*.iij.ad.jp minimum response xserver.jp, 01.dnsv.jp, ns*.value-domain.com, *.lolipop.jp, *.namedserver.net, muumuu-domain.com