88171.net

I stand with Ukraine🇺🇦

DNSのHidden Primary化

ここ、88171.netのDNSをHidden Primary化した。

と、したり顔で言ってはみたものの、Hidden Primaryという名前で呼ばれていることは後から知った。

Hidden Primaryとは、ドメインのNSレコードに含まれず意図的に存在を隠されたプライマリサーバを指す。 リゾルバからの名前解決要求は必然的にセカンダリサーバでのみ受け付けることになる。 ゾーン情報の管理の観点では、プライマリ・セカンダリの関係は一般的な構成と変わらない。

前出の記事ではそれぞれHidden Primaryのメリットについて触れられているけれども、 決して普遍的なものではないし、必ずしもこのドメインに当てはまるものでもない。


なぜ、このドメインのプライマリを隠したのかといえば、以前に書いた記事に関係する。

独自ドメインにDNSサーバを置いている場合も、 上位サーバのグルーレコードにIPアドレスが残ったままになるので同様のリスクがあるし、 ゾーンのコントロールを奪われ得るのでより悪いとも言える。

遺されたシステム - 88171.net

つまり、(ここの場合)たかだか1年間の有期契約で借りているプライマリサーバのIPアドレスを上位サーバに登録することは、 将来なんらかの理由で管理が立ち行かなくなった場合にセキュリティリスクとなるので、それを避けたかった。 リスクとはいっても現実となる可能性は無視できるくらい低いものの、 このドメインの場合は特に大きなデメリットが見当たらないこともあって、念のためやっておくことにした。

隠したとはいうものの、SOA.MNAMEには変わらずプライマリのホスト名を載せているし、 プライマリにクエリが飛んでくれば誰にでも普通に返事をする。 存在を公言しなくなった、という表現の方が実情に近い。


いっそのこと、さくらにプライマリを任せてしまえば面倒がないのでは?という説はある。 実際に数年前まではそうしていたのだけど、ゾーンをファイルで管理できるのはやっぱり楽なので、なかなか戻りづらい。

ちなみに、さくらのネームサーバのような共用DNSサーバを使うこと自体がリスクを孕んでいるので、そこは追って検討する。 一つ言えるのは、一個人の立場では選択肢はとても限られている。