1. DNS/共用ゾーンサービス

利用者が作成したゾーンを同居させているサービス

警告: ほとんどの業者は利用者が作成するゾーンについて/ドメイン名権利確認 をしていません。 (cloudflare, awsdns, domaincontrol)

1.1. みっつのタイプ

作成したゾーンを受け持つNSの決め方に三種類ある。

さくら、awsdns, cf 型

1.2. 危険性

/lame delegationの危険がいっぱいの共用DNSサービスです。/危険性 を見てください。

レジストラが提供しているDNSゾーンサービスで、レジストラの客だけが使うサービスであれば、乗取脆弱ではないでしょう。

でも、それ以外のゾーンサービスは危ない。

業者など DNS/ManagedDNS

複数のゾーンを同一のサーバーの元でサービスすると、おかしなことをするケースがある。

1.3. サブドメイン NS

サブドメイン名に対応するゾーンだけを作成可能な業者とか、親子同居させる業者とかも危ない。

サブドメインゾーンのNSを登録に使っているドメインを見かける。

1.4. ADDITIONAL SECTION

同居ゾーンデータをADDITIONALに返す業者

/value-domain /lolipop /maihama-net /cyberpress

/21company.com

CNAME chainをたどるときにどうしているか。(同居)

1.5. 脅威

共用ゾーンサービスにはさまざまな危険があります。: 俗にドメインハイジャックと呼ばれています。
  なかでも、lame delegationは危険です。

DNS/脅威/共用ゾーンサービス DNS/管理/共用DNSサービス/闇

DNS/lame_delegation

「ドメイン名の権利」を確認しないで/ゾーンを作成させるサービスが多いようです。

これらのサービスを使っていると、DNS/誤委譲 に用心する必要があります。

DNSの仕組みを理解することなく、需要にこたえるだけのサービス

サービスを利用するにも覚悟がいります。-- ToshinoriMaeno 2019-04-05 14:32:14

利用する上での注意事項をまとめます。共用サービスごとに異なります。

1.6. 共用ゾーンサービス

安全とは程遠い存在です。DNS/脅威/共用ゾーンサービス (2012年の事件から、改善はあるのか)

利用させる/ドメイン名の権利確認をしていないものがほとんどです。

未熟なDNS仕様のもとでは「運用」が重要だが、それがおろそかにされている。

 共用サーバーのセキュリティにはノウハウが重要だが、 ひとを育てていないので、運用ノウハウが蓄積される状況ではない。

-- ToshinoriMaeno 2017-12-15 01:20:25

/お名前 /interlink /value-domain /ui-dns

https://twitter.com/beyondDNS/status/880930028472553473

共用DNSサービスがドメインの権利関係を確認しないのが根本にあります。

8:24 - 2017年7月1日

その共用ゾーンサービスが信頼できないこと。

サーバー証明書と絡めてくるから厄介だ。-- ToshinoriMaeno 2018-10-11 12:31:23

/親子ゾーン同居 証明書発行問題

レンタルサーバー/転居手順/サーバー業者

DNS/JPRS/指定事業者

https://twitter.com/OrangeMorishita/status/775943620931137540

(承前)レンタルサーバーの共用DNSサービスなどで、勝手に「オレオレ子供」を作れる状態だと、この問題が発生するということですね。 http://ya.maya.st/d/201609a.html#d2016090915:25 - 2016年9月14日

1.7. サービス間移転

DNS/1/コンテンツサーバ/移転 がまともにできるわけがない。!!

「浸透待ち」(「浸透いうな!」)の背後に「サーバー移転」があると気づきました。

1.8. DNSサービスを提供している業者

DNS/サービス業者

サービスを提供する業者を分類:

  1. DNSサービス専業 [+レジストラ]
  2. レジストラ/レジストリ(ドメイン販売業者)
  3. 一般サーバー(VPS, ホスティング)
  4. webサーバー

webサーバーとDNSサービスを一体にしてサービスする業者がほとんどだ。

-- ToshinoriMaeno 2017-12-16 11:36:07

/free


2. ゾーン作成時の検査

親子関係の検査だけが問題ではないことを見過ごしていた。-- ToshinoriMaeno 2020-01-18 23:43:01

検査すると明記している業者は少ない。

名前衝突持の確認方法には危ないものもある。

2.1. さくら

別IDによるサブドメインの登録はできなくなっている。(特別の手順が必要なのだろう。)

/さくら

2.2. awsdns/Route53

Amazon Route53の場合、サブドメインはかならず(?)親ドメインと異なるサーバに収容される模様 
 そもそも親子同居しないので問題が起きない

2.3. お名前.com

https://help.onamae.com/app/answers/detail/a_id/7863

お名前.com提供サービスとは以下サービスを指します。
 ・DNS(ダイナミックDNS)レコード設定/URL転送PLUS/メール転送PLUS/お名前パーキング
 ・セカンダリDNS(Slave)
 ・お名前.com提供のレンタルサーバーサービス

※URL転送PLUS,メール転送PLUS,お名前パーキングはお名前.com管理ドメインを対象としたサービスとなります。

https://www.onamae.com/option/dnsrecord/

お名前.com提供のレンタルサーバーサービス 以下FAQをご参照ください。 https://help.onamae.com/app/answers/detail/a_id/014363

2.4. xserver.jp

外部管理のドメインの場合に登録ドメインを検査するという説明はない。

ドメイン権利者でなくても登録できるということまでは確認できた。-- ToshinoriMaeno 2018-08-24 05:29:13

2.5. star

https://www.star.ne.jp/manual/domain_add_other.php /star.ne.jp

2.6. IIJ

DNS/脅威/共用ゾーンサービス/IIJ Internet Week 2016 DNS DAYから https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yamaguchi.pdf

IIJの公式説明ではない。2012年の指摘から4年経ってもこれしかないのか。

IIJの場合、親ゾーンの管理者と異なる人が子ゾーンを契約しようとした場合、親の契約者に確認を取る

-- ToshinoriMaeno 2017-12-15 03:43:24

https://dnsops.jp/event/20180627/dns-summer-day-2018_simamura.pdf

2.7. GoDaddy

まともな説明ではない。(必要はわかるが、十分ではない。)

別の会社に登録されているドメインの DNS を管理するには、
  まず DNS ホスティングを追加し、現在のレジストラでネーム サーバーを変更する必要があります。

DNS ホスティングを追加します。

2.8. 系列同居

wwwなどをサブドメインにして、同居させているのは 業者が別なのだろうか。外部から見ていては分からない。

責任はどこに。

-- ToshinoriMaeno 2017-12-16 00:05:11

2.8.1. 言い訳

そもそも親子ゾーンで管理者が異なるような契約は拒否しちゃえばいいんじゃない

同じ組織だけどあえて別契約にしたい、というケースもある
•本社と地方拠点とか、サブドメインの運用をSIerに委託する、とか
–顧客の利便を考えると、一概に断るのは難しい

個別の対応はいまの議論の対象外です。

3. 返答

minimum responses かどうか。

authority section にNS, additional あり:

authority section にNS, additional なし:

minimum response

Moin2Qmail: DNS/共用ゾーンサービス (last edited 2021-05-18 15:15:00 by ToshinoriMaeno)