1. DNS/awsdns/ゾーン運用
Contents
委任されたサブドメインが正しく解決されることをテストするにはどうすればよいですか? https://aws.amazon.com/jp/premiumsupport/knowledge-center/delegated-subdomain-resolve/
1.1. ゾーン
ゾーンを作成すると、ゾーンを管理するNs (RR)が4つ指定される。
- この4 NSを上位サーバーに委譲登録することによって、ゾーンのレコードが世の中に見えるようになる。
1.2. lame delegation
委譲設定を残した状態で awsdns 上のゾーンを削除すると、lame delegation状態が発生する。
その状態で、誰かがゾーンを作成するとどうなるか。乗取可能だと確認されている。
1.3. 簡単な対策
ゾーン作成時にNSが割当られる。 そのときに、
delegationを調べ、awsdns NSを指すdelegationがあるなら、 そこで使われているNSは割付の対象からは除外する。
これだけで、TLD レベルのlame delegationの乗取は回避できる。
さくらのようにさらにその先までみるのも親切であるが、十分ではない。-- ToshinoriMaeno 2020-01-16 15:11:44
subdomain (複数可)に対するゾーンに割り当てたNSは避けているのだから、delegationを見るくらいは 大した変更ではない。(検査対象がひとつ増えるだけか)
- なぜ、これまでやらなかったのか。(見落としたのだろう。)
-- ToshinoriMaeno 2020-01-16 06:31:37
1.4. 同居指定ができるらしい
これが危険なことは知られていないようだ。 https://twitter.com/beyondDNS/status/1272838388479979520?s=20 /同居