1. ドメイン名の権利確認
| /GMOクラウド /awsdns /coreserver /value-domain /xrea /zenlogic /さくら |
ドメイン名は購入するものでも、所有するものでもない。 DNS/1/ドメイン名/ドメイン所有権
ゾーン作成時に権利確認する業者は少ない。
Contents
DNS/zombie_ awakening でも確認されている。
- レジストラなら簡単に権利確認できるドメインもある。
他社登録のドメインでもゾーン作成を許すことが多い。(危険)
Can I Take Over DNS?
A list of DNS providers and whether their zones are vulnerable to DNS takeover! https://github.com/indianajson/can-i-take-over-dns
1.1. 確認方法
whois 登録情報(NSなど) を変更することで、権利確認を行うのが筋だ。
すでに委譲が向いているのに、ゾーンを作成させるのは乗取に加担しているも同然だ。
「DNS(TXTレコード)による所有権の確認」 http://www.adminweb.jp/wmt/setup/index4.html
- 所有権を確認しているのではなく、ゾーンの管理権を確認する。
1.2. 2012年 現状
DNS権威サービスでドメイン名の権利を確認しているところは少ない。 レンタルサーバー/業者
- レジストラでもないものが、ドメイン名権利を確認しようとするは難しい。
- 個人情報保護のからみもある。
そこで、所有権を確認しないでも、安全にサービスできないかを検討する。
1.3. 考え方
ドメイン名空間全体をサービスしようなんてことを考えなければよい。
例えば、co.jp であれば、co.jp 直下のドメイン名だけ登録を認めることにすればよい。
こういう運用はTLDによって異なるから、網羅するのは面倒ではあるが、 所有権を確認する必要がないという利点がある。
現在のさくらにしても、JP TLDの登録を排除するなどの検査はしているだろう。
-- ToshinoriMaeno 2012-06-15 23:27:50
1.4. minibird での事例
StarServerに統合されたようで、いまでも権利確認が行われているかは不明である。-- ToshinoriMaeno 2020-01-02 00:29:50
他社管理の独自ドメインを設定する。 http://www.minibird.jp/man/domain_add_other.php
独自ドメインを設定するには、ドメイン所有者確認のための認証を行う必要があります。 他社サービスにて管理中の独自ドメインを設定する場合、運用状況によって適切な認証方法が異なります。 下記をご参照の上、ドメインの状況に合わせて手続きをお進めください。
どれがいいのかを選択するのがむずかしい。非常にむずかしい選択。
- TLS証明書の取得と似ているか。
他社登録のドメインを登録させるのが間違っているという気がしてならない。
新規作成のドメインであれば、条件つきでwhois/NSを使うのでよさそう。
- 既存ドメインの移転でも一時停止が可能なら、同様だ。
そうでなければ、DNS資源レコード、web(HTTPS), メイルという順序になるか。
- どれにしてもドメイン名の権利確認には遠い。 whoisに動作していないことが確実なNSを追加するのがいいかも。w
1.4.1. whois
Whois認証/NS変更による
ホームページを運営していない、 移転に際するダウンタイム(ホームページが表示されない時間)があっても構わない
- これだけではなくて、ドメインを乗取られても構わないという条件も必要かも。
ドメインの現在の管理業者様側で、弊社指定のネームサーバーとなっているか、確認をお願いいたします。
もしゾーンが存在していないことがサーバー側で保証できるなら。-- ToshinoriMaeno 2018-08-29 20:17:06
1.4.2. メール認証
ドメイン名の権利をメールで確認できるという理由はなにか。(web証明書と類似)
1.4.3. Web認証
ドメイン名の権利をwebで確認できるという理由はなにか。(DV証明書と同程度)
- webサーバーの証明書に使うのであれば、問題は小さいだろうが。
1.4.4. DNS 認証
言及されていないが、 権威サーバーをすでに運用しているのであれば、業者が指定するレコードを設定するという方法もとれる。
問題はweb管理者にDNSレコード設定を説明する必要があること。-- ToshinoriMaeno 2018-08-29 20:48:11
-- ToshinoriMaeno 2017-05-29 00:51:42
1.5. 業者の対応
1.5.1. lolipop
lame delegation domain数が多い業者
安全だと思える説明はない。-- ToshinoriMaeno 2022-04-01 23:31:13
1.5.2. さくら
別IDによるサブドメインの登録はできなくなっている。(特別の手順が必要なのだろう。)
1.5.3. awsdns/Route53
Amazon Route53の場合、サブドメインはかならず(?)親ドメインと異なるサーバに収容される模様 そもそも親子同居しないので問題が起きない
- とか書いているが、保証はない。
1.5.4. value-domain
他社登録ドメインのためのゾーン:
- ゾーン作成の条件として、委譲設定させるのだから、委譲設定とゾーン作成を連続して行う必要がある。
- 一瞬の隙きをつかれて、サブドメインなどを作られると危ない。
1.5.5. お名前.com
https://help.onamae.com/app/answers/detail/a_id/7863
お名前.com提供サービスとは以下サービスを指します。 ・DNS(ダイナミックDNS)レコード設定/URL転送PLUS/メール転送PLUS/お名前パーキング ・セカンダリDNS(Slave) ・お名前.com提供のレンタルサーバーサービス
※URL転送PLUS,メール転送PLUS,お名前パーキングはお名前.com管理ドメインを対象としたサービスとなります。
https://www.onamae.com/option/dnsrecord/
お名前.com提供のレンタルサーバーサービス 以下FAQをご参照ください。 https://help.onamae.com/app/answers/detail/a_id/014363
DNS管理サービスとは? https://www.onamae.com/option/dns/
- 外部管理ドメインの追加 (チェックがあるが、それでいいのかは疑問だ)
1.5.6. xserver.jp
外部管理のドメインの場合に登録ドメインを検査するという説明はない。
ドメイン権利者でなくても登録できるということまでは確認できた。-- ToshinoriMaeno 2018-08-24 05:29:13
1.5.7. star
https://www.star.ne.jp/manual/domain_add_other.php /star.ne.jp
1.5.8. IIJ
DNS/脅威/共用ゾーンサービス/IIJ Internet Week 2016 DNS DAYから https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yamaguchi.pdf
IIJの公式説明ではない。2012年の指摘から4年経ってもこれしかないのか。
IIJの場合、親ゾーンの管理者と異なる人が子ゾーンを契約しようとした場合、親の契約者に確認を取る
いつからの話か分からないし、これだけで十分とは言えない。-- ToshinoriMaeno 2017-12-15 03:48:19
-- ToshinoriMaeno 2017-12-15 03:43:24
- 順序もおかしい。親からの依頼が先にあるべきだ。
https://dnsops.jp/event/20180627/dns-summer-day-2018_simamura.pdf
1.5.9. GoDaddy
まともな説明ではない。(必要はわかるが、十分ではない。)
別の会社に登録されているドメインの DNS を管理するには、 まず DNS ホスティングを追加し、現在のレジストラでネーム サーバーを変更する必要があります。
DNS ホスティングを追加します。