1. DNS/共用ゾーンサービス/さくら
/同居の扱い /CNAME
DNS(アプライアンス) https://manual.sakura.ad.jp/cloud/appliance/dns/index.html#id8
ネームサーバ登録に関する仕様と制限 /登録仕様と制限
/SSL証明書: 206226041-ドメインを利用する際の仕様と制限: https://help.sakura.ad.jp/hc/ja/articles/206226041-%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%82%92%E5%88%A9%E7%94%A8%E3%81%99%E3%82%8B%E9%9A%9B%E3%81%AE%E4%BB%95%E6%A7%98%E3%81%A8%E5%88%B6%E9%99%90
206073142-ネームサーバ登録に関する仕様と制限 https://help.sakura.ad.jp/hc/ja/articles/206073142-%E3%83%8D%E3%83%BC%E3%83%A0%E3%82%B5%E3%83%BC%E3%83%90%E7%99%BB%E9%8C%B2%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E4%BB%95%E6%A7%98%E3%81%A8%E5%88%B6%E9%99%90
2. 登録できないドメイン名
言い換えれば、さくらはこれらのドメインは新規登録させないという宣言をしているようなものです。
- 現存する顧客ドメインの一割弱をそういう状態にしているというのはおそるべき会社です。
- (ゾーンサーバーが返事をするということとは厳密には一致しないかもしれません。)
2.1. 不発弾処理
2019年11月にさくらVPSを再利用し始めた。
- qmail.jp ドメイン(ゾーン)を作ろうとしたが、作れないと言われた。
- 別人が登録したサブドメインが存在するからだ、とのこと。(これもサポートに問い合わせて分かったこと)
- 一週間待って、消してくれないときはさくら側の権限で消すそうだ。(これも危ない)
3. sakura zone サービスのまとめ
2014年末にsakura(ns*.dns.ne.jp)をJP登録しているドメインのうち前野が把握しているものは7850件あります。
2013年までにさくらを登録していたことが分かっていたものが7444件あって、 これから上の現利用ドメインを削ると1939ドメインがさくらを止めたことがわかります。(2014年にやめたとは限らない)
おどろくべきはこの1939のうち、556ドメインについてはさくらサーバはDNS返答を続けているということです。
- 556のうち、224はJPに問い合わせるとNXDOMAINが返りますので、使われていないのかもしれません。
- 2012年に不具合を指摘したときには、さくらをJP登録していないドメインについて返事するケースはなくしたという理解ですから、 この2、3年の問題かもしれません。(まともな管理をしていないことを推測させる)
4. 返事のないドメイン名
一方でさくらをJP登録しているにもかかわらず、さくらサーバは返答しないものも多数あります。
- こちらはさくらの責任よりもドメイン権利者の責任の方が重いと思いますが。
これらを合わせて考えると、さくらのDNSサービスはとんでもないレベルだと言えると思いました。
-- ToshinoriMaeno 2015-01-01 11:38:06
http://www.e-ontap.com/dns/ipsj-tokai.pdf 2014.11.5
「ドメインの所有者確認を行っておりませんでしたが」という文面ではあるが、現状でも行っていない。-- ToshinoriMaeno 2019-03-03 10:01:05
- レジストラになっているドメインについての検査がある、というくらいだ。
当社DNSに関するお知らせ 2012年06月29日 お客様各位 さくらインターネット株式会社 当社会員IDに紐づいて管理されているドメインの場合、その所有者以外はネームサーバへ登録できない (注:当社で取得されたドメイン名の場合、だと思われる。) 登録しようとしているドメインの親ドメインが、別の会員IDのお客様によって登録されている場合は、登録が出来ない 登録しようとしているドメインの子ドメインが、別の会員IDのお客様によって登録されている場合は、登録が出来ない 登録しようとしているドメインの親ドメインが当社ネームサーバに委譲されている場合には登録出来ない 登録しようとしているドメインが当社ネームサーバと他のネームサーバの両方に委譲されている場合には登録出来ない (いわゆるセカンダリ設定がされている場合) 穴は? → 所有確認、状態変化 のチェックがまだ甘い
- すぐに分かる穴があるが、ここには書かない。(さくらの説明通りだ)
-- ToshinoriMaeno 2018-08-26 06:32:05
以下の理解では、脆弱なケースが発生する可能性がある。-- ToshinoriMaeno 2019-03-03 10:03:30
DNSの場合、上位のネームサーバから権限委譲される形で、ドメイン名を構成していることから、 所有者以外(第三者)が当社にドメイン登録したとしても権限委譲 されていない限り、第三者がドメインを利用することはできません。
5. 2017年末の調査
JPドメイン名
status |
登録 |
転出 |
消滅 |
Noerror |
8083 |
1160 |
458 |
REFUSED |
209 |
1828 |
891 |
SERVFAIL |
11 |
26 |
8 |
返答数 |
8304 |
3015 |
1357 |
さくらのサービスとしては12743ドメイン中の8083ドメインだけが正当な返事で、 残りは困った問い合わせを受けているという話になるでしょう。
NXDOMAIN返答はサブドメインを間違って問い合わせたものでした。(問い合わせてはダメな名前, 削除)
-- ToshinoriMaeno 2017-12-14 03:07:20
6. 2012
さくらは仕様変更だとしか言っていない。これが脆弱性でなかったら、なにが脆弱性だ。...
ドメインメニューからゾーンを追加する際、既に異なる会員IDで下位ゾーン(※) が登録されている場合は、ゾーンの追加ができなくなります。
逆に言えば、危ないものを登録させるのが仕様だった。こわっ。-- ToshinoriMaeno 2012-06-16 03:34:29