ドメインは取るのは簡単だが後がめんどくさい

2024/12/25

うちのドメイン “hirokuma.work” だが、取得価格が安かったのと年間手数料もそこまでかからないからいいか、くらいの気持ちで取得した。
TLS がないとできない実験とかもできるしね。

今は GitHub Pages をこのドメインにしたり Google の Search Console か Analysis の設定だけにしか使ってないのだが、 最近よく「ちゃんと管理しましょう」みたいなのを見かけて不安になってきた。
少し調べておこう。

A とか AAAA とか

IPv4 を割り当てるなら A、IPv6 を割り当てるなら AAAA らしい、くらいのイメージだが、 そもそもあれは何という名前なのか？

「DNSレコード」というそうだ。

• 【ドメイン】DNSレコード設定の各レコードの意味を教えてください。｜ヘルプ - ドメイン取るならお名前.com

ドメインやらサブドメインやらを IPアドレスと紐付けるなら A と AAAA があれば十分なはずだ。
が、それ以外にも DNSレコードがある。

CNAME

よく聞く CNAME である。
Google Search Console や Let’s Encrypt などでドメインの持ち主が本当に私なのかを確認する作業で設定したことがある。
それ以外にも GitHub Pages でも カスタムドメインにするときに出てきたか。

ドメイン名やホスト名に別名を割り当てるそうだ。

• CNAMEレコードとは - IT用語辞典 e-Words

このブログも GitHub Pages なので自分のドメインにするのに使っている。
dig で見るとこうなっていた。

;; ANSWER SECTION:
blog.hirokuma.work.     3600    IN      CNAME   hirokuma.github.io.

さいごのピリオド

そういえば dig の出力はサブドメインなどの最後にピリオドが付いている。
これは何かと ChatGPT 氏にきいたところ FQDN を意味するそうだ。 最後の . はルートドメインで、ルートドメインまで全部書いてますよ、という意味になる。

こっちには、設定ファイルなどで区別が付かないときに使ったりするという記述があった。

• FQDN（完全修飾ドメイン名 / 絶対ドメイン名）とは - IT用語辞典 e-Words

ブラウザだとどうなのか試してみたが、https://github.com. は飛べたけど https://www.yahoo.co.jp. は https://yahoo.co.jp. に飛ばされて not found になった。
リダイレクトするようにしているのかな？
よくわからんかった。

正規名

CNAME は “canonical name” の略。
直訳すると “正規名” だが、そういえば regular expression は “正規表現” でこっちも「正規」だな。
“canonical” は本物風な意味で、”regular” は規則的な意味合いか。

お名前.com のページには「正規ホスト名に対する別名を付ける」と書いてあった。
正規ホスト名のていぎがよくわからないが A レコードが登録されている必要があるらしい。
IPv6 しか割り当てられてなかったら AAAA レコードでもいいのかな？
A レコード(AAAA レコードもかもしれん)が付けられた名前が正規名なんだろうか。

こちらには IPv4 アドレスの逆引きと書いてあるので A レコードしかダメなのか。
IPv4 って枯渇してしまったのかと思っていたが、新規で割り当てがないだけでなんとかなっているのかしら。

• JPRS用語辞典｜CNAMEリソースレコード（シーネームリソースレコード）

勝手に割り当てて良いの？

GitHub Pages の自分のページは A レコードだったので自分のドメインで CNAME の設定をすることができた。
つまり同一ドメイン以外でも設定できるのだ。
ということは、自分のサイトのふりをして別のサイトを表示させるということができるのか？

まあ、いまは HTTPS が標準になっているので違う URL で飛ばされるとブラウザが指摘してくれると思う。
GitHub Pages で自分のドメインを使うときに URL を教える必要があるのも、その証明書を作ってくれるためだろうし。
とはいえ、自分でなんかやらかしてしまわないか心配だ。

話題の攻撃

CNAME を消し忘れたことで別のサイトに誘導されてしまうという攻撃があるそうだ。

• JPRS用語辞典｜Subdomain Takeover（サブドメインテイクオーバー）

使わなくなった CNAME を削除すれば良いだけだろうが、お名前.com だとグループを作ったりタグを付けたりできないので管理が難しそうだ。
インポート・エクスポートはあるので別途管理するのが良いのか。

あと、この攻撃を成り立たせるには CNAME の正規ホスト名と同じサイトを攻撃する人が持たないといかん。
同じドメインだと無理だろうが、別サービスだとやりやすいのかもしれん。
そういう攻撃が増えてるって書いてあるしね。

あー、私も “hirokuma.work” でページを作ろうかと思っていたが、自分でサーバを立てずに無料のホスティングサービスを探そうとしている。
作ってはみたものの、やっぱりやーめた、サービスは解約した、とかやって CNAME を削除し忘れるとできてしまうのかもしれない。
HTTPS だったとしても証明書を作れば良いだけだから関係ないしね。

ドメインのやめ時

「もうドメインの維持費すら払えない！」とか「どめいんってなんだったかねぇ」みたいなことになったらドメインはもう解約するだろう。
それかクレジットカードが止められて自動で停止させられるかだな。
そうではなく、もう使わないから止めてしまおうと考えるかもしれない。

こんな名前のドメインを取りたい人がいるとは思えんが、攻撃なんてものは予想が付かないところからやってくるから攻撃なのだ。
そう考えると、お金が続く限りは保持し続けないといけないか、あるいはそのドメインで運用していたすべてを止めて、もう使われることはないと判断してからやめるしかないのか。

安易に取ってしまったドメインだが、購入サイトには脅し文句くらい書いておいてほしいものだ。
まあ、そんなことすると買う人が減って維持費が高くなって困ることになってしまいそうだが。