88171.net

ここ、 88171.net の DNS を Hidden Primary 化した。

と、したり顔で言ってはみたものの、 Hidden Primary という名前で呼ばれていることは後から知った。

• Hidden Primary – Wikipedia
• Primary vs secondary DNS | Cloudflare
• DNS ベストプラクティスとは「隠す」そして「重ねる」 － ＠IT

Hidden Primary とは、ドメインの NS レコードに含まれず意図的に存在を隠されたプライマリサーバを指す。 リゾルバからの名前解決要求は必然的にセカンダリサーバでのみ受け付けることになる。 ゾーン情報の管理の観点では、プライマリ・セカンダリの関係は一般的な構成と変わらない。

前出の記事ではそれぞれ Hidden Primary のメリットについて触れられているけれども、 決して普遍的なものではないし、必ずしもこのドメインに当てはまるものでもない。

なぜ、このドメインのプライマリを隠したのかといえば、以前に書いた記事に関係する。

独自ドメインに DNS サーバを置いている場合も、 上位サーバのグルーレコードに IP アドレスが残ったままになるので同様のリスクがあるし、 ゾーンのコントロールを奪われ得るのでより悪いとも言える。

遺されたシステム - 88171.net

つまり、（ここの場合）たかだか 1 年間の有期契約で借りているプライマリサーバの IP アドレスを上位サーバに登録することは、 将来なんらかの理由で管理が立ち行かなくなった場合にセキュリティリスクとなるので、それを避けたかった。 リスクとはいっても現実となる可能性は無視できるくらい低いものの、 このドメインの場合は特に大きなデメリットが見当たらないこともあって、念のためやっておくことにした。

隠したとはいうものの、SOA.MNAME には変わらずプライマリのホスト名を載せているし、 プライマリにクエリが飛んでくれば誰にでも普通に返事をする。 存在を公言しなくなった、という表現の方が実情に近い。

いっそのこと、さくらにプライマリを任せてしまえば面倒がないのでは？という説はある。 実際に数年前まではそうしていたのだけど、ゾーンをファイルで管理できるのはやっぱり楽なので、なかなか戻りづらい。

ちなみに、さくらのネームサーバのような共用 DNS サーバを使うこと自体がリスクを孕んでいるので、そこは追って検討する。 一つ言えるのは、一個人の立場では選択肢はとても限られている。