1. 誤用 zone-apex

/Wrong   /at.jp   /bilibili.co.jp   /g.jp   /irasutoya,com   /meitrack.jp   /リゾルバー  

Contents

  1. 誤用 zone-apex
    1. 害の例
    2. DNS provider
    3. リゾルバ-の対応
    4. 制限規定
    5. ISC BIND
      1. 設定できない業者
    6. ゾーンサーバからの返事
      1. NSレコード query
      2. Aレコード query
    7. リゾルバー動作

/irasutoya,com に代表される問題。 jp.sharpの問題も一緒に議論する。

1.1. 害の例

https://x.com/me7532724875971/status/1760321910863233384

/at.jp /g.jp

HTTPS レコードはブラウザー側が対応するまで待つしかない。

1.2. DNS provider

value-domain で非常に多い。(ほとんど?)

dns.ne.jp 少し、HTTPS X

xserver.jp 16件

https://twitter.com/jschauma/status/1672067074519097352?s=20

1.3. リゾルバ-の対応

「リゾルバーが名前解決をしてしまう」というのが現状での問題だと言える。

権威サーバー側では設定エラーにするものも多いのに、一部の業者が許容するために、

watchNS/cname に収集してある。

1.4. 制限規定

Why can't a CNAME record be used at the apex (aka root) of a domain?

http://serverfault.com/questions/613829/why-cant-a-cname-record-be-used-at-the-apex-aka-root-of-a-domain

http://support.simpledns.com/kb/a94/why-cant-i-create-a-cname-record-for-the-zone-name-itself.aspx

DNS/1/CNAME/CnameWrong

ゾーン名は別名として定義してはいけないのだが、使割れている。

だが、使えると便利でもある。どう対応するのがいいだろう。

取下げられた案: https://tools.ietf.org/id/draft-sury-dnsext-cname-at-apex-00.html

https type レコードになるらしい。-- ToshinoriMaeno 2022-01-25 00:46:21

1.5. ISC BIND

CNAME at the apex of a zone

https://www.isc.org/blogs/cname-at-the-apex-of-a-zone/ 

ISC BIND 9 will therefore not allow you to add a CNAME at the zone apex because this will create a broken zone and cause DNS resolution failures.

1.5.1. 設定できない業者

さくらなどは禁止しているらしい。aliasレコードが使えるサービスもあるとか。awsdns, cf

1.6. ゾーンサーバからの返事

CNAMEを問い合わせるとCNAMEが返る。

Aを問い合わせるとCNAMEが返るので、受け入れるならば、不都合は発生しないのだろう。-- ToshinoriMaeno 2022-10-30 08:00:18

NSを問い合わせるとCNAMEが返ることも: VDなど

1.6.1. NSレコード query

NSレコードを問い合わせたときの権威サーバの返答には、以下のような返事がある。

1.6.2. Aレコード query

Aレコードを問い合わせたら、どうだったかは調べ直す。

Aだけ返すところは(当然ながら)ない。

-- ToshinoriMaeno 2015-12-05 01:18:12

これまではNSを問い合わせる機会は多くはなかったが、qname minimisationが決まると増えるだろう。

watchNS/littleworld.jp

Why it's a bad idea to put a CNAME record on your root domain (joshstrange.com) https://news.ycombinator.com/item?id=7293512 /ycombinator

1.7. リゾルバー動作

/リゾルバー が重視しているのは委譲のNSであって、ゾーンサーバー側(権威サーバー側)のNSではないことがわかった。

zoneにNSがなくても気にかけないようだ。-- ToshinoriMaeno 2022-10-30 14:17:42

MoinQ: DNS/CNAME/zone_apex (last edited 2024-05-14 01:08:00 by ToshinoriMaeno)