1. DNS/共用権威サーバの危険性
さくらのDNS(権威サーバ)サービスに問題がありました。
- さくらに連絡しました。問題点は理解してもらって、「登録手順」は修正したとの返事をもらいました。
- さくらの言い分は実装に欠陥があった。仕様には問題なし。とのことです。でも、仕様は非公開らしい。
-- ToshinoriMaeno 2012-05-01 07:42:30
しかし、すでに登録されたものは残ったままです。
- (例) sastudio.jp と qmail.sastudio.jp (これらは調査のために、登録したものです。)
2. 共用サーバの危険性
ホスティングサービス付属の共用のDNS(権威)サーバには登録時のドメイン所有者検査が緩いものがあります。
- 無料で使えるDNSサーバはその程度のものだと思って使うべきなのでしょう。
dozens.jp も所有者確認はしていませんでした。
さくらのように有料のDNSサーバと同じホストを使っていたりするDNSプロバイダもあるので、注意が必要です。
2.1. awsdns
awsdns でもドメインの持ち主の確認はしていないようです。
- ただし、多数(推定では2000以上)のDNSサーバがあるので、本当に危ない設定ができるかは不明です。 確認は容易ではありません。
レジストラ、あるいはドメイン再販業者が運用するDNS(権威)サーバは
- ドメインの所有者を確認しているようなので、安全なのかもしれません。(使いやすさとは別の話です。) (例)onamae.com が提供している dnsv.jp サーバ
ただし、そのサーバーがほかの登録を認めていないことを明らかにしていなければ、安全とは言えません。
3. ドメイン所有者の責任
(所有しているかどうかに関係なく)どんなレコードでも登録できるような共用の権威サーバを使うのなら、 ドメイン所有者は自分のドメインに対する権威サーバの返事をきちんと確認して、それらに責任をもつべきです。 それくらいしか、使い続ける理由は思いつきません。
4. 古い情報に注意
ドメインの所有者は時とともに変化するものです。
- 登録時に所有者であっても以降もずっと所有しているとは限りません。
古いDNSレコードを返事しつづける権威サーバ(幽霊船)にはご注意を。
5. 情報提供のお願い
共用の権威サーバに誰がどのようなデータを登録できるか、調べてみてもらえませんか。 (レジストラが運用していて、ドメイン所有を確認しているものは除外します。)
Google の DNSサービスではよそで取得したドメインを登録するときに所有者確認をしていたような気がします。
- ご存知の方は教えてください。
6. セカンダリDNSサービス
セカンダリDNSサービスなども同様に危ないのかもしれない。
- 運用によるだろうが。どうやって、幽霊がひそんでいないことを確認しているのだろう。
信頼できる上位サーバに登録されたプライマリサーバからのゾーン転送だけを行っているなら、問題は起きないだろう。
- でも、それが守られているという保証はあるのか。
ゾーンデータの独立性とは?
-- ToshinoriMaeno 2012-04-22 23:16:52