DNS/権威サーバ/共用サーバの危険性について、ここに記述してください。
五月の連休あけに、危険性を具体的に書く予定です。-- ToshinoriMaeno 2012-04-22 23:16:52
- さくらのDNS(権威サーバ)サービスに問題がありました。
さくらに連絡して、理解してもらって、手順は修正したとの返事をもらいました。ですが、... -- ToshinoriMaeno 2012-05-01 07:42:30
6月6日現在、直っていないと思われます。(このひとつき、なにを調べていたのだろう。)
1. 共用サーバの危険性
ホスティングサービス付属の共用のDNS(権威)サーバには登録時の検査が緩いものがあります。
- 無料で使えるDNSサーバはその程度のものだと思って使うべきなのでしょう。
- ただし、有料のDNSサーバと同じホストでサービスしていたりするDNSプロバイダもあるので、注意が必要です。
レジストラ、あるいはドメイン再販業者の運用するDNS(権威)サーバはドメインの所有者を確認しているので、 安全なのかもしれません。(使いやすさとは別の話です。)
2. お願い
共用の権威サーバ: 誰がどのようなデータを登録できるか、調べてみてもらえませんか。 (レジストラが運用していて、ドメイン所有を確認しているものは除外します。)
Google の DNSサービスではよそで取得したドメインを登録するときに所有者確認をしていたような気がするが、
- ご存知の方は教えてください。 (Googleは権威サーバサービスをしていなかったかも)
3. セカンダリDNSサービス
セカンダリDNSサービスなども同様に危ないのかもしれない。
- 運用によるだろうが。どうやって、幽霊がひそんでいないことを確認しているのだろう。
信頼できる上位サーバに登録されたプライマリサーバからのゾーン転送だけを行っているなら、問題は起きないだろう。
- でも、それが守られているという保証はあるのか。
ゾーンデータの独立性?
-- ToshinoriMaeno 2012-04-22 23:16:52
キャッシュサーバならぬ権威サーバへの毒盛が成立するかもしれない。 成立しないことの証明(保証)をするのは、権威サーバ提供業者の責任だと思うのだが。
「誰がどういうレコードを登録しているか明らかでないような」DNS権威サーバを 自分の所有するドメインの権威サーバに指定するなんて、理解できないな。 たまたま名前解決できても、乗っ取りの危険がないという保証がないのでは?
-- ToshinoriMaeno 2012-06-06 13:04:08
amazon route 53 もドメイン(ゾーン)所有確認がないようなのですが、安全なのでしょうか。 もし安全だというのであれば、その理由を知りたいものです。
4. JP 登録
危険な権威サーバをJPサーバに登録したまま(管理放棄)にしているドメインが見つかっています。
- これらのドメインが使われていないのなら幸いですが、....
-- ToshinoriMaeno 2012-06-06 23:57:13
- 具体的にはさくらのDNSサーバを登録しているが、データは設定されていない。
- だれがいつどんなデータを設定するかは分からない。さくら側も責任はないと主張するだろう。
-- ToshinoriMaeno 2012-06-08 02:37:12