web-dev-qa-db-ja.com

DNSはサードパーティによるサブドメインの登録を許可していますか?

DNSルックアップのルールセットに依存する質問の1つがあります。

人物Aがサイトhttps://www.example.comを所有しているとします。 Aに関連付けられていない別の人、Person Bがhttps://sub.example.comをローカルレジストリに登録しようとします。レジストリはこれを許可しますか?または、これらのドメイン名はリンクされており、サードパーティが取得できないという暗黙の理解がありますか?

私が尋ねる理由は、私の大学https://www.sydney.edu.au[email protected]が作成したメールにリンクを送ったと思われ、このリンクが私をhttps://canvas.sydney.edu.au/に誘導しているためです。

これは私には良くないようです。ただし、DNSルールでは、https://www.sydney.edu.auに関連ドメインhttps://canvas.sydney.edu.auのみを許可する場合があります。

それ以外の場合、誰か(たとえば、悪い人)がhttps://badsite.sydney.edu.auを登録でき、DNSがそれを通過できる場合は、DNSの世界に悪さのために作られた穴があります。

20
Tony Barry

セキュリティへようこそ!

教育/政府機関の事例は、サブドメイン化の特定の事例です。基本的に、インターネットのトップネームを統治するICANNは、.au TLDの拡張をオーストラリア政府に委任しました(単純にするため)。しかし、.edu.gov(et similia)はhistoricalの理由で米国が所有しているため、オーストラリアは他の国と同様に、は、.auの下で専用の教育サブドメインを管理する以外に選択肢はありませんでした。他の例は、同様の選択をした.gov.uk.gov.itなどです。

whois Linuxツールを使用すると、興味深い情報を見つけることができます。その出力をまとめました

:~> whois au
% IANA WHOIS server
% for more information on IANA, visit http://www.iana.org
% This query returned 1 object

domain:       AU

organisation: .au Domain Administration (auDA)
address:      Lv 17
address:      1 Collins St
address:      Melbourne VIC 3000
address:      Australia


:~> whois edu.au
Domain Name: EDU.AU
Registry Domain ID: D407400000002449554-AU
Registrar WHOIS Server: whois.auda.ltd
Registrar URL: http://www.afilias.com.au
Last Modified:
Registrar Name: Afilias Australia Pty Ltd

:~> whois sydney.edu.au
Domain Name: SYDNEY.EDU.AU
Registry Domain ID: D407400000000057080-AU
Registrar WHOIS Server: whois.auda.org.au
Registrar URL: https://www.domainname.edu.au
Last Modified: 2018-07-17T00:59:06Z
Registrar Name: EDUCATION SERVICES AUSTRALIA LIMITED

チェーン内の各サブジェクトは、パーティがサブドメインを登録できるようにする責任があります。たとえば、サイエンス部門がサブドメインを登録する場合、Education Services Australiaに問い合わせる必要があります。

実験:GoDaddyでusrlocalechelon.edu.auを登録してみてください:彼らはあなたにそれを売ることができません

実験2: https://www.domainname.edu.au/ では、41 AUDでusrlocalechelon.edu.auを登録するように求められます。 .edu.auドメインの料金を支払うだけでオーストラリアの教育機関であると主張するかもしれないので、私の意見ではあまりにも一般的すぎるようです。

コメント:サイトには、登録の「資格の詳細」ステップが表示されます。おそらくオーストラリアの教育ドメインを登録できません権限がないためです。 EUの下で登録する。私はウィザードを前進させようとする気になりませんでした。

実験3(セキュリティの質問に答えます)

https://www.domainname.edu.au/[〜#〜]しない[〜#〜]を許可しますusrlocalechelon.sydney.edu.auを登録してください

申請者は、国益および責任を有するか、複数の州または地域で認識され、サービスを提供する必要があります

Example domain search

まとめ

technical理由によりlevel-minus-の所有者を通過する必要があるため、公共のレジストラでお気に入りのサブサブドメインを申請することはできません。 1つのドメイン。 DNSは階層的です。

ただし、3番目または4番目のレベルのドメイン(例ではsydney.edu.auのような)を所有している組織がドメインアプリケーションのフィルタリングに欠陥がある場合、それは彼ら自身の組織の問題ですそしてDNSシステムの欠陥ではありません。

短い答え:いいえ、サードパーティはドメインの所有者の許可なしにサブドメインを登録することはできません。


DNSは、ホスト名の右から左に並べられた階層システムです。特定のドメイン名が登録されている人は誰でも、そのドメインの権威ネームサーバーを制御します。つまり、そのドメインまたはそのサブドメインの1つに対するすべてのクエリ(キャッシュから応答がない)は、その組織のDNSサーバーに送信され、すべてのサブドメインを完全に制御できます。もちろん、必要に応じて、このコントロールを他の誰かに委任することもできます。

たとえば、reirab.comを登録する場合、誰かがsubdomain.reirab.comにクエリを実行すると(キャッシュが含まれていない場合)、次のようになります。

彼らのDNSサーバーは、最初に ルートサーバー に、右から最初のドメイン、つまりcomを要求します。彼らはDNS NSレコード を返し、comの権威ネームサーバーを伝えます。

その後、DNSサーバーは、reirab.comに対する以前の要求から発見した信頼できるネームサーバーに要求を送信します。 reirab.comの信頼できるネームサーバーであることを伝えるNSレコード応答を再度取得します。

彼らのDNSサーバーは、subdomain.reirab.comに対するreirab.comの信頼できるネームサーバーに要求を送信します。私はreirab.comを所有しているので、この権威あるネームサーバーを完全に制御できます。それは、私自身が所有するサーバーか、私に代わって第三者がホストするサーバーのいずれかです。このドメインに対して(信頼できる)返される可能性がある唯一のサブドメインは、私がその信頼できるネームサーバーでレコードを作成したものです。 他の誰かがreirab.comのサブドメインを登録する唯一の方法は、私が所有しているため、彼らに設定するように依頼することです。 reirab.comの信頼できるネームサーバーとそのサブドメインへのすべての要求は、私のサーバーを経由して集められます。

サブドメインの制御を他の誰かに委任したい場合は、私のレジストラがreirab.comの制御を委任したのとまったく同じ方法で、NSレコードを使用して行います。 subdomain.reirab.comのNSレコードをreirab.comの権限のあるネームサーバーに追加することで、subdomain.reirab.comとそのサブドメインのリクエストを、そのNSレコード。これは、そのサブドメインの制御を委任した組織によって制御されます。このNSレコードを削除または変更することで、いつでもこの委任を取り消すことができます。

ちなみに「www」はDNSでは特別扱いされていません。これは、ドメインの権威あるDNSサーバー内の単なる別のホスト名です。慣例によってのみ、その組織のWebサーバーのホスト(AまたはAAAA)レコードをそこに配置します。 www.exampledomain.comとsomethingelse.exampledomain.comのAレコードは、両方とも同じサーバー、exampledomain.comのDNSサーバーにある可能性が高いです。


注:この回答は、誰かがインターネットからDNSレコードをリクエストする場合の意図を少し単純化したものです。ドメインの要求がドメインの組織内からのものである場合、その要求は、root-servers.net、TLDのネームサーバーなどにチェーンを上ることなく、組織のネームサーバーによって直接解決される可能性があります。この場合、ホスト組織が選択した場合、名前はインターネットから解決されるものとは異なるものに解決される可能性さえあります。

29
reirab

DNSレジストラは、プライマリドメイン、つまりexample.comの登録のみを考慮します。 www.example.comwww.math.example.comなどのサブドメインは関係ありません。これらは、プライマリドメインを所有する組織の完全な制御下にあり、これらのドメインまたはこれらのドメインの一部に対する制御を他の関係者に委任することも決定する場合があります。

プライマリドメインはdomain.toplevelである必要はありませんが、domain.publicsuffixであることに注意してください。ここで、publicsuffixcomのほか、co.ukでもかまいません。これらの詳細については、 publicsuffix.org を参照してください。

19
Steffen Ullrich

レジストリはこれを許可しますか?または、これらのドメイン名はリンクされており、サードパーティが取得できないという暗黙の了解がありますか?

技術的な理由はありません彼らはまだこれを行うことができませんでした*。 DNSレコードはネームサーバーによって一元的に管理され、レコードはどの方向を指すこともできます。 DNSレコードの基本的なテキストの性質上、非常に自由である必要があります。 実際には、これがdnsサーバーの中間制御におけるなりすましと人間が問題である理由です。

とはいえ、ドメイン名レジストリが契約上の義務に従っている規則があります。これらのルールに違反すると、つまり、ドメインの「所有者」(リース)の許可なしに、他のユーザーが特定のドメインにサブドメインを登録できるようになると、トップレベルのドメイン所有者またはICANNと非常に有利な契約を結ぶリスクが生じます。したがって、他の誰かのドメインでサブドメインを取得することを困難にする暗黙の理解は、単にレジストラの経済的自己利益です。

これに対処するには、サイトのssl署名、信頼されたルート証明書、DNSSEC(DNSセキュリティ拡張機能)などの他の手法が重要です。 * DNSSECは、エンドツーエンドの暗号化とDNS要求の検証を通じて、DNS解決の脆弱性と戦うための現在の計画です。

2
cde

私はドメインを所有しています。「xyz.eu」としましょう。これはプロバイダーによってDNSに登録され、年会費を支払います(名前は7ユーロ、最も安いホスティングは10ユーロ)。

ホスティングプロバイダーでシンプルなwebtoolを使用して、好きなサブドメインを作成できます。一部は事前定義されています:www.xyz.eu、smtp、mail、imap。私は誰からの許可も必要なく、サブドメインに追加料金を支払う必要もありません。他の誰も私のドメインの下にサブドメインを作成することはできません。 [email protected]のようなメールボックスについても同様ですが、作成できるのは私だけです。

ほとんどのデータは最大10 GBの私のプロバイダーによってホストされています。 DDNSの助けを借りて、プロバイダーの設定を行うことで、自宅のサーバーをサブドメインに指定することもできます。 home.xyz.eu。このサーバーは、ルーターに接続された32 GBのフラッシュドライブであり、大きなメディアファイルを提供できます。

0
StessenJ