1. DNS/共用ゾーンサービス/さくら/登録仕様と制限
ネームサーバ登録に関する仕様と制限
https://help.sakura.ad.jp/206073142/
ここに書かれている内容が分りづらい。検討中です。(正しさも不明)
- 脆弱性が残ったままだ。妨害攻撃も成立する。
-- ToshinoriMaeno 2019-03-28 01:27:28
ゾーンがまったくなくて、委譲だけが存在した場合、乗取れる。
子ゾーンだけが存在した場合、乗取れるのではないかという疑問が浮かんだ。試すしかないが。-- ToshinoriMaeno 2024-12-30 13:58:48
ここに書かれた制限すらしていないawsdnsなどは非常に危険だということになる。(xserverも)
分りづらいのであれば、安心して使えないことになる。(使っていない。)
「ns1.dns.ne.jp/ns2.dns.ne.jp」 とあるのが、なにを指すか、あいまいだと思った。-- ToshinoriMaeno 2020-03-05 10:35:55
- 両方なのか、片方だけでもいいのか。(安全のためには明らかだが、実装が問題だ。)
1.1. なにが分りづらいのか
委譲前と委譲後とに分けて、記述するのがよさそうだ。-- ToshinoriMaeno 2019-11-08 00:10:20
さくらに委譲するときにはどういう注意を払うべきか。よく考えよう。
- 委譲されたあとの制限は機能しそうだ。
さくらで「取得」したドメイン名でないものを使うなら、さくらに「委譲・委任」してはいけない。
自ドメインのNSは自前で運用するのが一番。
あまり参考にはならないが: http://www.e-ontap.com/blog/20120701.html
1.2. 委譲前の制限
会員ID
別の会員IDで親ドメイン、もしくは子ドメインのネームサーバ登録が行われている場合、 独自ドメインを取得・管理している会員IDであっても、親ドメインや子ドメインの登録ができません。
ここでのドメイン登録とはゾーンを作成することであると理解している。
- 登録の妨害に使えることは棚上げにする。 委譲の存在とは関係なく、できないことが書かれている。兄弟ドメインは可能か。
例:
- moin.qmail.jp ゾーンを他人に作られたら、qmail.jpや sub.moin.qmail.jp は作れない。
- でも、moin2.qmail.jp は作れると理解した。
この状態で、qmail.jpを委譲すると、乗取られる。(qmail.jpゾーンが作れないことの意味を理解できるだろうか。)
1.3. 委譲時にすべきこと
親ドメインに対応するゾーンが作れることを確認せよ。
これにより、子ドメインに対応するゾーンが存在していないことが確認できる。
子ドメインのゾーン作成だけでは不十分だ。
1.4. 委譲後の安全性
サブドメインの登録は原則禁止される。親ドメインはどうなるのか。-- ToshinoriMaeno 2019-11-07 23:46:04
親ドメインのWhois情報のネームサーバが、「 ns1.dns.ne.jp/ns2.dns.ne.jp 」を指定(登録)している場合 子ドメインを登録することができません。 ただし、親ドメインを登録している会員IDの場合は、サブドメインの登録が可能です。
ここではサブドメインだけを登録(例 wwwつきのゾーンだけを作成)する状況は想定されていない。(異常だからか)
1.5. lame delegation
委譲だけあって、ゾーンの存在しないドメインをよく見かける。
- さくらがレジストラとして、登録されたのであればいいが、もしそうでないと危ない。
1.5.1. さくら外のサーバー
Whois情報のネームサーバに 「 ns1.dns.ne.jp/ns2.dns.ne.jp 」 と、「 それ以外のネームサーバ 」 を 指定している場合、登録することができません。
- サブドメインも登録できない、ということになる。
Whois情報で指定しているネームサーバのNSレコードに 「 ns1.dns.ne.jp/ns2.dns.ne.jp 」 と、 「 それ以外のネームサーバ 」 を設定している場合、登録することができません。
- 委譲先のNSでのNSも見ているということのようだ。