1. DNS/共用ゾーンサービス
Contents
利用者が作成したゾーンを同一の権威サーバー内に同居させているサービス
- 複数のゾーンを同一のサーバーでサービスすると、おかしなことが起きる。
ゾーンサーバーの実装に問題がある。-- ToshinoriMaeno 2021-05-18 12:34:38
警告: 共用ゾーンサービスには乗取の危険性があります。
/DigitalOcean /NS1 /dnsmadeeasy /DreamHost
1.1. ドメイン名権利確認
警告: ほとんどの業者は利用者が作成するゾーンについて/ドメイン名権利確認 をしていません。 (cloudflare, awsdns, domaincontrol)
/ドメイン名権利確認 を行う業者を探しています。 /minibird
https://github.com/indianajson/can-i-take-over-dns
DNS/ManagedDNS DNS/サービス業者 /lame
1.2. 誰が使うのか
- DNS権威サーバーを動かしたくないひと、動かせないひとなど。セカンダリサーバー(slave)を必要とするひと。
乗取可能か https://github.com/indianajson/can-i-take-over-dns
1.3. みっつのタイプ
作成したゾーンを受け持つNSの決め方に三種類ある。
さくら: 固定NS、親子同居は検査あり。
awsdns: ランダム割当 (親子は同居させない。)
cf 型: ランダムではないが、固定でもない。
- 委譲の存在を避けているようで、そうでもない。
1.4. 危険性
/危険性がいっぱいの共用DNSサービスです。 レジストラが提供しているDNSゾーンサービスで、レジストラ利用者だけが使うサービスであれば、 乗取は起きない。そんなサービスがあるだろうか。
1.5. サブドメイン
サブドメイン名に対応するゾーンだけを作成可能な業者とか、親子同居させる業者とかも危ない。
共用DNSサービスで、まっさらのゾーンを保証してくれる業者がどれほどあるのか。 cloudflareのように、トップドメインしか作らせないのであればいいが、 awsdns, さくらなどは心配になる。
サブドメインゾーンのNSを登録に使っているドメインを見かける。
1.6. ADDITIONAL SECTION
同居ゾーンデータをADDITIONAL Sectionに付加してくるサーバー業者
/value-domain /lolipop /maihama-net /cyberpress
CNAME chainをたどるときにどうしているか。(同居)
1.7. 脅威
共用ゾーンサービスにはさまざまな危険があります。: 俗にドメインハイジャックと呼ばれています。 なかでも、lame delegationは危険です。
DNS/脅威/共用ゾーンサービス DNS/管理/共用DNSサービス/闇
「ドメイン名の権利」を確認しないで/ゾーンを作成させるサービスが多いようです。
これらのサービスを使っていると、DNS/誤委譲 に用心する必要があります。
ドメイン名/ハイジャックされる危険性を抱えています。
DNSの仕組みを理解することなく、需要にこたえるだけのサービス
- 委譲されていないなら、どんなゾーンがあっても平気だという誤解が原因だろう。(ほとんどの業者)
サービスを利用するにも覚悟がいります。-- ToshinoriMaeno 2019-04-05 14:32:14
DNS/レジストラサービスもあわせて勉強しましょう。DNS初心者向けの説明はむずかしい。
利用する上での注意事項をまとめます。共用サービスごとに異なります。
- リゾルバーでできる対策もありますが、実装はされていないでしょう。
1.8. 共用ゾーンサービス
安全とは程遠い存在です。DNS/脅威/共用ゾーンサービス (2012年の事件から、改善はあるのか)
利用させる/ドメイン名の権利確認をしていないものがほとんどです。
DNS/脅威/共用ゾーンサービス/さくらは登録の条件を公表しているだけまし、という状態です。
未熟なDNS仕様のもとでは「運用」が重要だが、それがおろそかにされている。
共用サーバーのセキュリティにはノウハウが重要だが、 ひとを育てていないので、運用ノウハウが蓄積される状況ではない。
-- ToshinoriMaeno 2017-12-15 01:20:25
/お名前 /interlink /value-domain /ui-dns
https://twitter.com/beyondDNS/status/880930028472553473
共用DNSサービスがドメインの権利関係を確認しないのが根本にあります。
- 余計な返事(CNAME関連で)をするゾーンサーバーを使っていると、 運用妨害される可能性がある。(外部名を使っていたとき) これを理解できるひとは他に何人?
8:24 - 2017年7月1日
その共用ゾーンサービスが信頼できないこと。
- DNSサーバーをやっと動かすことができた程度の技術者しかいないのに、おまけとしてDNSサービスを提供している。
サーバー証明書と絡めてくるから厄介だ。-- ToshinoriMaeno 2018-10-11 12:31:23
/親子ゾーン同居 証明書発行問題
https://twitter.com/OrangeMorishita/status/775943620931137540
(承前)レンタルサーバーの共用DNSサービスなどで、勝手に「オレオレ子供」を作れる状態だと、この問題が発生するということですね。 http://ya.maya.st/d/201609a.html#d20160909 … 15:25 - 2016年9月14日
1.9. サービス間移転
DNS/1/コンテンツサーバ/移転 がまともにできるわけがない。!!
「浸透待ち」(「浸透いうな!」)の背後に「サーバー移転」があると気づきました。
- そして、サーバー移転の裏に「DNSサーバーの同時移転」があることにも。 さらに、共用ゾーンサービスが使われていること。
1.10. DNSサービスを提供している業者
サービスを提供する業者を分類:
- DNSサービス専業 [+レジストラ]
- レジストラ/レジストリ(ドメイン販売業者)
- 一般サーバー(VPS, ホスティング)
- webサーバー
webサーバーとDNSサービスを一体にしてサービスする業者がほとんどだ。
- レジストラであっても、管理しているドメイン名以外も登録させていると、危ないかも。
-- ToshinoriMaeno 2017-12-16 11:36:07
2. ゾーン作成時の検査
親子関係の検査だけが問題ではないことを見過ごしていた。-- ToshinoriMaeno 2020-01-18 23:43:01
- lame delegationを利用した乗取が行えるようなサービスが多い。
検査すると明記している業者は少ない。
- 他社で取得したドメイン名を登録させるところも多い。
さくらの検査はよさそう。-- ToshinoriMaeno 2018-08-30 06:09:36
名前衝突持の確認方法には危ないものもある。
2.1. 系列同居
wwwなどをサブドメインにして、同居させているのは 業者が別なのだろうか。外部から見ていては分からない。
責任はどこに。
-- ToshinoriMaeno 2017-12-16 00:05:11
2.1.1. 言い訳
そもそも親子ゾーンで管理者が異なるような契約は拒否しちゃえばいいんじゃない
同じ組織だけどあえて別契約にしたい、というケースもある •本社と地方拠点とか、サブドメインの運用をSIerに委託する、とか –顧客の利便を考えると、一概に断るのは難しい
個別の対応はいまの議論の対象外です。
3. 返答
minimum responses かどうか。
authority section にNS, additional あり:
- .gmoserver.jp, ns*.sphere.ad.jp, ns*.cpi.ad.jp [a.ns.qmail.jp]
authority section にNS, additional なし:
- awsdns, dns.ne.jp, 02.dnsv.jp, dns-*.iij.ad.jp
minimum response
- xserver.jp, 01.dnsv.jp, ns*.value-domain.com, *.lolipop.jp, *.namedserver.net, muumuu-domain.com