= ドメイン名の権利確認 = <> ドメイン名は購入するものでも、所有するものでもない。 [[DNS/1/ドメイン名/ドメイン所有権]] {{{ ゾーン作成時に権利確認する業者は少ない。 }}} <> [[DNS/zombie_ awakening]] でも確認されている。 レジストラなら簡単に権利確認できるドメインもある。 他社登録のドメインでもゾーン作成を許すことが多い。(危険) Can I Take Over DNS? A list of DNS providers and whether their zones are vulnerable to DNS takeover! https://github.com/indianajson/can-i-take-over-dns [[DNS/共用ゾーンサービス/cloudflare]] == 確認方法 == whois 登録情報(NSなど) を変更することで、権利確認を行うのが筋だ。 {{{ すでに委譲が向いているのに、ゾーンを作成させるのは乗取に加担しているも同然だ。 }}} 「DNS(TXTレコード)による所有権の確認」 http://www.adminweb.jp/wmt/setup/index4.html 所有権を確認しているのではなく、ゾーンの管理権を確認する。 == 2012年 現状 == DNS権威サービスでドメイン名の権利を確認しているところは少ない。 [[レンタルサーバー/業者]]  レジストラでもないものが、ドメイン名権利を確認しようとするは難しい。   個人情報保護のからみもある。 [[../レジストラ登録サーバ(NS)による所有確認]] そこで、所有権を確認しないでも、安全にサービスできないかを検討する。 == 考え方 == ドメイン名空間全体をサービスしようなんてことを考えなければよい。 例えば、co.jp であれば、co.jp 直下のドメイン名だけ登録を認めることにすればよい。 こういう運用はTLDによって異なるから、網羅するのは面倒ではあるが、 所有権を確認する必要がないという利点がある。 現在のさくらにしても、JP TLDの登録を排除するなどの検査はしているだろう。 -- ToshinoriMaeno <> == minibird での事例 == StarServerに統合されたようで、いまでも権利確認が行われているかは不明である。-- ToshinoriMaeno <> 他社管理の独自ドメインを設定する。 http://www.minibird.jp/man/domain_add_other.php {{{ 独自ドメインを設定するには、ドメイン所有者確認のための認証を行う必要があります。 他社サービスにて管理中の独自ドメインを設定する場合、運用状況によって適切な認証方法が異なります。 下記をご参照の上、ドメインの状況に合わせて手続きをお進めください。 }}} どれがいいのかを選択するのがむずかしい。非常にむずかしい選択。 TLS証明書の取得と似ているか。 他社登録のドメインを登録させるのが間違っているという気がしてならない。 新規作成のドメインであれば、条件つきでwhois/NSを使うのでよさそう。  既存ドメインの移転でも一時停止が可能なら、同様だ。 そうでなければ、DNS資源レコード、web(HTTPS), メイルという順序になるか。  どれにしてもドメイン名の権利確認には遠い。     whoisに動作していないことが確実なNSを追加するのがいいかも。w === whois === Whois認証/NS変更による {{{ ホームページを運営していない、 移転に際するダウンタイム(ホームページが表示されない時間)があっても構わない }}} これだけではなくて、ドメインを乗取られても構わないという条件も必要かも。 {{{ ドメインの現在の管理業者様側で、弊社指定のネームサーバーとなっているか、確認をお願いいたします。 }}}   もしゾーンが存在していないことがサーバー側で保証できるなら。-- ToshinoriMaeno <> === メール認証 === ドメイン名の権利をメールで確認できるという理由はなにか。(web証明書と類似) === Web認証 === ドメイン名の権利をwebで確認できるという理由はなにか。(DV証明書と同程度)  webサーバーの証明書に使うのであれば、問題は小さいだろうが。 === DNS 認証 === 言及されていないが、 権威サーバーをすでに運用しているのであれば、業者が指定するレコードを設定するという方法もとれる。  問題はweb管理者にDNSレコード設定を説明する必要があること。-- ToshinoriMaeno <> -- ToshinoriMaeno <> == 業者の対応 == === lolipop === lame delegation domain数が多い業者 安全だと思える説明はない。-- ToshinoriMaeno <> === さくら === 別IDによるサブドメインの登録はできなくなっている。(特別の手順が必要なのだろう。) [[/さくら]] === awsdns/Route53 === {{{ Amazon Route53の場合、サブドメインはかならず(?)親ドメインと異なるサーバに収容される模様 そもそも親子同居しないので問題が起きない }}} とか書いているが、保証はない。 === value-domain === 他社登録ドメインのためのゾーン: ゾーン作成の条件として、委譲設定させるのだから、委譲設定とゾーン作成を連続して行う必要がある。 一瞬の隙きをつかれて、サブドメインなどを作られると危ない。 === お名前.com === https://help.onamae.com/app/answers/detail/a_id/7863 {{{ お名前.com提供サービスとは以下サービスを指します。 ・DNS(ダイナミックDNS)レコード設定/URL転送PLUS/メール転送PLUS/お名前パーキング ・セカンダリDNS(Slave) ・お名前.com提供のレンタルサーバーサービス }}} ※URL転送PLUS,メール転送PLUS,お名前パーキングはお名前.com管理ドメインを対象としたサービスとなります。 https://www.onamae.com/option/dnsrecord/ お名前.com提供のレンタルサーバーサービス 以下FAQをご参照ください。 https://help.onamae.com/app/answers/detail/a_id/014363 DNS管理サービスとは? https://www.onamae.com/option/dns/ 外部管理ドメインの追加 (チェックがあるが、それでいいのかは疑問だ) === xserver.jp === 外部管理のドメインの場合に登録ドメインを検査するという説明はない。  https://www.xserver.ne.jp/manual/man_domain_namesever_setting.php ドメイン権利者でなくても登録できるということまでは確認できた。-- ToshinoriMaeno <> === star === https://www.star.ne.jp/manual/domain_add_other.php [[/star.ne.jp]] === IIJ === [[DNS/脅威/共用ゾーンサービス/IIJ]] Internet Week 2016 DNS DAYから https://www.nic.ad.jp/ja/materials/iw/2016/proceedings/d3/d3-2-yamaguchi.pdf   IIJの公式説明ではない。2012年の指摘から4年経ってもこれしかないのか。 {{{ IIJの場合、親ゾーンの管理者と異なる人が子ゾーンを契約しようとした場合、親の契約者に確認を取る }}}  いつからの話か分からないし、これだけで十分とは言えない。-- ToshinoriMaeno <> -- ToshinoriMaeno <>  順序もおかしい。親からの依頼が先にあるべきだ。 https://dnsops.jp/event/20180627/dns-summer-day-2018_simamura.pdf === GoDaddy === まともな説明ではない。(必要はわかるが、十分ではない。) {{{ 別の会社に登録されているドメインの DNS を管理するには、   まず DNS ホスティングを追加し、現在のレジストラでネーム サーバーを変更する必要があります。 }}} DNS ホスティングを追加します。   https://jp.godaddy.com/help/dns-20165