MoinQ:

1. DNS/共用サービスの危険性

さくらの共用DNSサービス(ゾーンサービス)に問題があることを発見しました。(2012年4月)

-- ToshinoriMaeno 2012-05-01 07:42:30

1.1. だが、実際には修正されていませんでした。

1.2. その他の危険性

さくらDNSをJP登録しているドメインで乗っ取りの危険があるものを165個検出しました。 うち25個はco.jpです。

さくらDNSサービスはそれらを簡単に悪用できる道具を提供しています。

-- ToshinoriMaeno 2012-12-07 00:36:34

調べていくと、DNSのかなり根本的な問題にも行き着きました。

2. 警告

ドメイン所有を確認しないような共用DNSにドメインを任せると、乗っ取られる可能性があります。

3. 共用サーバの危険性

ホスティングサービス付属の共用のDNS(権威)サーバは登録時のドメイン所有者検査が不十分です。

dozens.jp も所有者確認はしていませんでした。

有料のDNSサービスと同じホストを使って共用サービスするDNSプロバイダもあるので、注意が必要です。

4. awsdns

awsdns でもドメインの持ち主の確認はしていないようです。


レジストラ、あるいはドメイン再販業者が運用するDNS(権威)サーバは

5. ドメイン所有者の責任

(所有しているかどうかに関係なく)どんなレコードでも登録できるような共用の権威サーバを使うのなら、 ドメイン所有者は自分のドメインに対する権威サーバの返事をきちんと確認して、それらに責任をもつべきです。 それくらいしか、使い続ける理由は思いつきません。

6. 古い情報に注意

ドメインの所有者は時とともに変化するものです。

古いDNSレコードを返事しつづける権威サーバ(幽霊船)にはご注意を。

7. 情報提供のお願い

共用の権威サーバに誰がどのようなデータを登録できるか、調べてみてもらえませんか。 (レジストラが運用していて、ドメイン所有を確認しているものは除外します。)

Google の DNSサービスではよそで取得したドメインを登録するときに所有者確認をしていたような気がします。

8. セカンダリDNSサービス

セカンダリDNSサービスなども同様に危ないのかもしれない。

信頼できる上位サーバに登録されたプライマリサーバからのゾーン転送だけを行っているなら、問題は起きないだろう。

ゾーンデータの独立性とは?

-- ToshinoriMaeno 2012-04-22 23:16:52