[書き起こし]親の心子知らず？委任にまつわる諸問題について考える 〜ランチのおともにDNS〜 (4)

特徴(2):子の状況が変化しても検知しない

二つ目です。 「子の状況が変化しても検知しない」と書いてあります。

DNSでは、委任をして運用をしているときに、子供が変になったとか、子供が応答を返さなくなったとか、NSが削除されたというようなことがあっても、親は、それを検知して何かをするということはありません。 そのまま委任し続けます。

また、NSが外部名で指定されていると、その状況によっては色々なリスクがあります。 具体的に言うと、ドメイン名を乗っ取られてしまうリスクが発生する場合があります。 これは、特徴の(5)でご説明致します。

特徴(3):委任の有無に関わらず権威を自称できる

三つ目です。 委任の有無に関わらず権威を自称できる、とあります。

これはどういうことかと言いますと、親から委任されているかどうかに関わらず、権威を自称できます。 つまりは、自称権威が可能なわけです。

私は、この特徴を「オレオレ子供」と呼んでいます。

オレオレ子供というのは、「私が権威だ」と自称するからオレオレ子供なんです。 で、後で紹介する親子同居の共用DNSサービスは、オレオレ子供が関係する問題のひとつというわけです。

それから、ドメイン名パーキング用の権威DNSサーバというのもあります。 ドメイン名パーキングというのは、たとえばレジストラを通してドメイン名を登録するときなど、あるドメイン名を使おうとするときに、それをお客さんに渡す前に「これからここが使われますよ」という風に示したり、逆に期限切れのときに登場する某女性がおなじみだと思いますが、ああいうのがドメイン名パーキングです。

ドメイン名パーキングのために使われる権威DNSサーバは、外部からのどのような問い合わせに対しても権威を持つ応答を返すように実装されていることがあります。 これなどは、典型的なオレオレ子供と言えるでしょう。

ただ、これは、利点にもなり得る特徴です。 この特徴によって、Split DNSが実現できます。 Split DNSによって、内部用に権威DNSサーバやルートDNSサーバを立てて、中と外で名前空間を分けるということができるわけです。

それから、その昔ですね。 1995年ぐらいまで、日本国内ではネームサーバを3系列というのもやっていたのですが、これも、この特徴によって実現できていました。

特徴(4):どの親からどんな形で委任を受けているのかの情報を持たない

四つ目はですね、「どの親からどんな形で委任を受けているのかの情報を持たない」とあります。 これは子供の話です。

DNSの委任は、常に親から子への一方向で行われます。 つまり、子供が何か親の情報を持つということはありません。 なので、タイトルにある「親の心、子知らず」となるわけです。 親は子供を委任するのですが、子供はどの親からどのように委任されているのか知らないということになります。

たとえば、子供のゾーンがexample.co.jpだったとします。 その場合、(1)co.jpから委任されている、(2)jpから委任されている、(3)ルートから委任されている、という3つのいずれかの状態があり得ます。 この3つのどれでもなく、どこからも委任されてなくてオレオレ権威である可能性もあります。

子供の設定だけを見ても、これらのうちのどれなのかというのは、わかりません。 どの場合であっても、子供の設定は変わりません。

この特徴は、逆引きDNSを世界的に整備するという2000年代の前半から中盤に行われた、ERXというプロジェクトで利用されました。 歴史的PIアドレスを中心に、そもそもの地域と逆引きの権威DNSの管理しているRIRを一致させようとしたものですが、その際にRIR間において途中の権威DNSサーバが整理・変更されました。 この特性により、末端のPTRレコードに影響を及ぼすことなく実施することができました。

JPでも、以前に同様のことをやりました。 2006年ですが、昔は、co.jpなどの属性ドメイン名などは委任だったわけです。 これをひとつにまとめるということを行いました。 管理上の理由により委任することをやめ、ひとつのゾーンに統合しました。 これにより、属性型や地域型や都道府県型は、全てJPから委任されているんですね。 このため、現在ではco.jpとかtokyo.jpとかのNSレコードは存在しないのが正しいです。

よく、co.jpなどのNSが存在しないじゃないかと言われる方がいらっしゃいますが、これらのNSレコードは存在しないのが正しいので、「存在しないのがおかしい」と仰っている方には、「そっちがおかしい」と言って下さい（笑。