dotless domainとccTLDの話

2014/1/17-1

昨年12月に、Informational RFCとして、RFC 7085「Top-Level Domains That Are Already Dotless」が発行されました。 そこでは、TLD(Top-Level Domain)そのものにAレコード、AAAAレコード、MXレコードが登録されている、いわゆる「ドット無しドメイン」の一覧が紹介されていますが、一部界隈では「晒し上げRFC」と揶揄されています。

なお、このRFCで「晒し上げられている」TLDはすべてccTLDで、gTLDは一つもありません(その理由を、今回の記事で紹介します)。

要は、「ここで晒されているccTLDは、運用を見直せば?」という圧力の意味合いもあるようです。 ここでポイントなのは、「直せ」と直接的に言っているのではなく、「ドット無しは有害です」「これがドット無しのTLDの一覧です」ということがたんたんと記載されているという点です。

実は、今回「晒されている」ccTLDは、契約上何の違反もしていないのです。

このようなRFCがなぜ突然発行されたのか、その背景にはいったい何があるのかなど、多少わかりにくいところがあると思います。 しかし、ここら辺の話を紐解いて行くと、様々な「インターネットの歴史的経緯」が垣間見えてきます。

トップレベルドメイン大幅増加と、ドット無しドメイン

2012年に、ICANNによる新gTLD審査プロセスが開始しました。 2013年に審査を通過したうえでICANNとの契約を締結した、新gTLDが稼働しはじめました。

この記事を書いている時点では、毎週のように新しいgTLDがルートゾーンに追加されています。 2014年中に、新gTLDが千個ぐらい増えると推測されます。

ルートゾーンの最新情報は、IANAのRoot Zone Databaseをご覧下さい。 「.ninja」とか「.email」とか「.computer」とか「.みんな」とか、色々新しいgTLDが追加されているのがわかります。

このように、トップレベルドメインは現在大幅増加中ですが、このプロセスが開始される中で、トップレベルドメインだけをホスト名として利用する「dotless domain」に対するセキュリティ上の懸念が議論され、新gTLDではそれが禁止されました。

たとえば、新gTLDでは「myaddress@example」のようなメールアドレスは使えませんし、「http://example/」といったURLも使えません。

ドット無しドメインが抱えるセキュリティ上のリスク

ドット無しドメインの危険性を示している主な文書は、以下の2つです。

ドット無しドメインが危険とされる理由としては、DNS suffix search listが適用され、全く異なるFQDN(Full Qualified Domain Name)へと誘導されたり、電子メールを盗まれたりする可能性があるというものです。

DNS suffix search listは、「検索ドメイン」「デフォルトのドメイン名」「DNSサフィックス」などの名前で呼ばれることもあります。 たとえば、「http://www/」としたときに、DNS suffix search listに「example.com」が設定されていれば、自動的に「http://www.example.com/」であると解釈されたうえで処理されるというものです。

DNS suffix search listは、手動設定だけではなくDHCPなどによっても設定されるので、ユーザが気づかずにそれが設定されていることもあります(IPv6のRAでも、それを扱うための仕様が2010年に制定されています / RFC 6106 : IPv6 Router Advertisement Options for DNS ConfigurationのIPv6 DNSSL)。

非常に興味深いのは、関連するDHCPオプションのRFCであるRFC 3397に、こういった攻撃はDNSSECでは防ぐことができないことが明記されている点です。 これは、suffixの追加がDNS問い合わせの時点で行われるため、DNSSECの保護の対象外となるためです。

For example, a user requesting a connection to "myhost", expecting to reach "myhost.bigco.com" might instead be directed to "myhost.roguedomain.com". Note that support for DNSSEC [RFC2535] will not avert this attack, since the resource records for "myhost.roguedomain.com" might be legitimately signed.

このような理由からICANNは、新gTLDではドット無しドメインの運用をレジストリとの契約において明示的に禁止することを決定しました。

ドット無しドメインが禁止されているのは、新gTLDのみ

「.com」や「.jp」などのようなTLDには、次の4種類があります。

  • ccTLD:country code Top Level Domain(国別コードトップレベルドメイン)。「.jp」や「.us」のように国や地域を2文字で表すものです。
  • gTLD:generic Top Level Domain。「.com」や「.net」などです。前述の通り、最近大量増加していますが、最近増加しているものは、特に「新gTLD(New gTLDs)」と呼ばれています。
  • iTLD:infrastructure Top Level Domain。逆引きで利用する「.arpa」のみです。Dynamic Delegation Discovery Systemで利用する「uri.arpa」や「urn.arpa」のほか、IP電話などで利用されるSIP(Session Intiation Protocol)で扱うNAPTR(Name Authority Pointer)で使われることが多い「e164.arpa」もiTLDに含まれます。
  • IDN ccTLD:Internationalized Domain Name country code Top Level Domain(多国文字による国別トップレベルドメイン)。「.中国」や「.新加坡」など。「.日本」は現時点ではありません。

これらのうち、ドット無しドメインが契約上禁止されているのは、最近大量に増加している新gTLDのみです。

たとえば、新gTLDである「.academy」の契約書を見ると、以下のように明確にdotless domain nameを禁止しています(p.35)。

The above language effectively does not allow, among other things, the inclusion of DNS resource records that would enable a dotless domain name (e.g.,apex A, AAAA, MX records) in the TLD zone.

このような契約を、新gTLDを運営するレジストリがICANNと締結するため、新gTLDにおいてはドット無しドメインを運用することは不可能になっています。

ccTLDレジストリとICANNの関係

では、新gTLDではないccTLDなどはどうなっているのでしょうか? 結論から書くと、ccTLDに対してドット無しドメインを明確に禁止する制度もしくは決まりは存在しません。

ICANNが設立されたのは1998年ですが、ICANNが設立される前から存在しているccTLDも多く、また、新gTLDの場合とは異なり、ICANNとccTLDの間には明確な「契約」や「覚書」が交わされていないものが数多く存在しています。

ICANNと何らかの文書(契約、覚書、手紙)を交わしたccTLDの一覧は以下に記載されています。

Exchange of Letters / Accountability Framework

最も多いのが、単に互いに手紙を送り合う「Exchange of Letters」か、互いに何を運用するのかという責任範囲を簡易に示した文書を作成する「Accountability Framework」です。現在69のTLDが、これらの形式です。

正式に契約するモデルはさまざまな理由によりなかなか進まず、より簡便な(関係を構築しやすい)形として、ICANN ccNSO(country code Names Supporting Organisation / ccTLDに関するグローバルポリシーを策定し、ICANN理事会への勧告を行う支持組織)で議論され、このモデルが作られました。

通常の契約とは異なり、たとえば2ページ程度の非常に軽装な2者間契約の形をとるものがAccountabiity Framework、自組織の役割などを書いた宣言文書を作成して交換する形をとるものがExchange of Lettersです。

スポンサー契約

ICANNのスポンサーとして、ICANNと正式に契約するモデルです。日本の「.jp」は2002年にICANNとスポンサー契約を締結しています。

スポンサー契約を締結しているccTLD、及び契約形態が若干異なるレジストリ契約を締結している.euを加えた9のTLDが、ICANNと正式な契約を締結しているccTLDとなります。

  • .au
  • .eu
  • .jp
  • .ke
  • .ky
  • .pw
  • .sd
  • .tw
  • .uz

Memorandum of Understanding

ICANNとccTLDとの間で、覚書を交わすというものです。

以下の7個のccTLDがICANNと覚書を交わしています。

  • .ps
  • .ng
  • .md
  • .af
  • .bi
  • .la
  • .mw

何も交わしていない

最も多いのが、ICANNとの間で何も正式な契約や覚書などの文書を交わしていないccTLDです。

これらのccTLDとICANNとの間の関係については、ICP-1と呼ばれる文書が参照されることになっています。 ICP-1は、何かの決まりを既定したものではなく、1999年時点までのcurrent practices(慣行)をまとめただけのものなので、要は「1999年以前と同じようにccTLDの管理を委任する」ということになります。

さいごに

このように、ccTLDに対し一律、ドット無しドメイン名を禁止するための枠組みは存在していません。 しかし、新gTLDに関する議論の過程で、ドット無しドメインのセキュリティ上のリスクが脚光を浴びることとなり、新gTLD以外にも「やめるべきである」と言いたいという感じでしょうか。

ドット無しドメインの議論は、インターネットの伏魔殿とも言えそうな「過去の経緯」と無関係ではありません。 DNSやIPアドレス界隈では、こういった過去の経緯が積み重なることで、スパゲッティのような実態になっているという話が色々とありがちです。

さらにccTLDを厄介にしているのが、それが「国家」を示しているという点です。 これまで騙し騙しやってきた話が、そろそろ紛糾しだす予兆が出始めたような気がしなくもない今日この頃です。

プロフェッショナルIPv6解説動画シリーズ再生リスト

動画で学ぶ「プロフェッショナルIPv6」を作っています。 もしよろしければご覧ください。お楽しみいただければ幸いです!