= 誤用 zone-apex = <> <> [[/irasutoya,com]] に代表される問題。 jp.sharpの問題も一緒に議論する。 == 害の例 == https://x.com/me7532724875971/status/1760321910863233384 [[/at.jp]] [[/g.jp]] HTTPS レコードはブラウザー側が対応するまで待つしかない。 == DNS provider == value-domain で非常に多い。(ほとんど?) dns.ne.jp 少し、HTTPS X xserver.jp 16件 https://twitter.com/jschauma/status/1672067074519097352?s=20 I found about 9.2 million domains (3.8% of all) with a CNAME record at the apex. == リゾルバ-の対応 == 「リゾルバーが名前解決をしてしまう」というのが現状での問題だと言える。 権威サーバー側では設定エラーにするものも多いのに、一部の業者が許容するために、 リゾルバー側はほぼ問題点から目をそらしているようだ。 [[watchNS/cname]] に収集してある。 == 制限規定 == Why can't a CNAME record be used at the apex (aka root) of a domain? http://serverfault.com/questions/613829/why-cant-a-cname-record-be-used-at-the-apex-aka-root-of-a-domain http://support.simpledns.com/kb/a94/why-cant-i-create-a-cname-record-for-the-zone-name-itself.aspx [[DNS/1/CNAME/CnameWrong]] ゾーン名は別名として定義してはいけないのだが、使割れている。 いろいろおかしなことが起きる。(設定者の期待とは異なるだろう)リゾルバーの処理もさまざまだ。 だが、使えると便利でもある。どう対応するのがいいだろう。 取下げられた案: https://tools.ietf.org/id/draft-sury-dnsext-cname-at-apex-00.html https type レコードになるらしい。-- ToshinoriMaeno <> == ISC BIND == CNAME at the apex of a zone It is often asked, “Why can’t I have a CNAME at the zone apex?” https://www.isc.org/blogs/cname-at-the-apex-of-a-zone/ {{{ ISC BIND 9 will therefore not allow you to add a CNAME at the zone apex because this will create a broken zone and cause DNS resolution failures. }}} === 設定できない業者 === さくらなどは禁止しているらしい。aliasレコードが使えるサービスもあるとか。awsdns, cf == ゾーンサーバからの返事 == CNAMEを問い合わせるとCNAMEが返る。 設定の間違いを確認する以外には使わない。 Aを問い合わせるとCNAMEが返るので、受け入れるならば、不都合は発生しないのだろう。-- ToshinoriMaeno <> NSを問い合わせるとCNAMEが返ることも: VDなど NS queryが送られることはあまりないので、気にしないのか。(qname minimisation) === NSレコード query === NSレコードを問い合わせたときの権威サーバの返答には、以下のような返事がある。 * NSだけを返す (NSD?) * NS+CNAMEを返す (tinhydnsなど value-domain, my-domain) [[/unbound]] [[/kresd]] * CNAMEだけを返す (NSはない)最近のvalue-domain, xserver soa があるものと、ないものと Served by POWERDNS 3.0.1 === Aレコード query === Aレコードを問い合わせたら、どうだったかは調べ直す。 * CNAMEを返す (Aはない) * CNAME+Aを返す (dejima.ne.jpなど) Aだけ返すところは(当然ながら)ない。 ほとんどがAuthority SectionにNSをつけてくるから、笑ってしまう。 -- ToshinoriMaeno <> これまではNSを問い合わせる機会は多くはなかったが、qname minimisationが決まると増えるだろう。 [[watchNS/littleworld.jp]] Why it's a bad idea to put a CNAME record on your root domain (joshstrange.com) https://news.ycombinator.com/item?id=7293512 [[/ycombinator]] == リゾルバー動作 == [[/リゾルバー]] が重視しているのは委譲のNSであって、ゾーンサーバー側(権威サーバー側)のNSではないことがわかった。 AUTHORITY SECTIONにNSレコードがあれば、取り込まれることもある。 zoneにNSがなくても気にかけないようだ。-- ToshinoriMaeno <> CNAMEの影響で見えない可能性もある。