ルートサーバーはどのようにしてネームサーバーで更新されますか？ WhoIS情報は常にルートと同期していますか？

レジストラには、DNS名前空間のサブゾーンを管理する権利があります。 ccTLD（国コードのトップレベルドメイン、たとえば.us）の場合、これはほとんど1つですが、gTLDS（.comのようなグローバルTLD）の場合は複数あります。

レジストラに独自のDNSを通知すると、レジストラはドメインの新しいサブゾーンを定義し、DNS解決を委任します。 DNS内の情報が更新されるたびに、情報が変更されたことをその上のDNSにポーリングします。これは主にレジストラDNSになります。レジストラは、この情報を別のルートDNSに転送します。

今あなたの質問に：

• このプロセスはどの程度安全ですか？

システムはセキュリティを考慮して設計されていなかったため、このプロセスはあまり安全ではありません。基本的に、与えられた情報が正しいことを信頼します。したがって、不正なレジストラがドメインを引き継ぐ場合は、ルートサーバーに偽の情報が含まれていて、正しい情報が含まれていないことを確認する必要があります。この情報は簡単に偽装できます。通常、レジストラはこれをチェックし、自分のサブゾーンのレコードのみを更新する必要があります。

ルートサーバーが情報を受信すると、すべてのDNSが受け取ったすべての回答を受け入れるため、さらに悪いのは応答です。つまり、たとえばGoogleを偽のIPにリダイレクトすることはそれほど難しくありません。これがDNSSECが発明された理由であり、応答に暗号で署名することができます。

• レジストラは私のネームサーバーのルートを更新できますか？

レジストラがDNSマスターサーバーを装うことができるということですか？すべてのDNSがDNSからデータをポーリングできる必要がありますが、それは問題にはなりません（上記のなりすましを差し引いてください）。

• どのようなセキュリティ対策が講じられていますか？

あなたがそれをセキュリティ対策と呼ぶことができるならば、信頼してください。 :)信頼を信じない場合は、DNSSECのロールアウトが現在進行中です。 DNSが持つすべての問題を解決するわけではありませんが、少なくともいくつかは解決します。これは主にDNS応答の署名を許可するため、対応するIPを偽装することは簡単ではありません。私が知る限り、個々のDNSのキャッシュを汚染することは依然として可能です。

レジストラによって異なります。それぞれがカスタムAPIを提供し、そのドキュメントは通常、リセラーのログインページの背後にあります。

したがって、実際にそれがどれほど安全であり、どのような規定が設けられているかに対する答えは、「状況によって異なります」です。ただし、ドメインを制御するレジストラのみがルートネームサーバーを更新できます。