Zenn
😰

DNSSEC を有効化したままドメイン移管すると名前解決できなくなって詰む

2023/12/08に公開
#
DNS
#
dnssec
tech

TL; DR

  • ドメインを移管する際、移管元のレジストラで DNSSEC を無効化してからドメイン移管することが推奨されている
  • DNSSEC を有効化したまま DNSSEC をサポートしていないレジストラにドメイン移管した場合、名前解決できなくなる
  • この状態を解消するには、移管後のレジストラのサポートに問い合わせる。エンドユーザー向けの機能として DNSSEC を提供していないレジストラであっても、サポートの権限で DNSSEC を解除できるようになっている場合がある

前提

ドメイン ttanimichi.com を Gandi からムームードメインに移管しました。それぞれの DNSSEC 対応状況は下記の通りです。

レジストラ 関係性 DNSSEC
Gandi 移管元 対応している
ムームードメイン 移管先 対応していない

発生した現象

名前解決できなくなりました。 dig を実行して確認してみると RRSIGs Missing と出ています。

$ dig a www.ttanimichi.com @8.8.8.8

; <<>> DiG 9.18.18-0ubuntu0.23.04.1-Ubuntu <<>> a www.ttanimichi.com @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 64621
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
; EDE: 10 (RRSIGs Missing): (For www.ttanimichi.com/cname)
;; QUESTION SECTION:
;www.ttanimichi.com.            IN      A

;; Query time: 12 msec
;; SERVER: 8.8.8.8#53(8.8.8.8) (UDP)
;; WHEN: Tue Nov 28 14:30:49 JST 2023
;; MSG SIZE  rcvd: 81

これはおそらくドメインを移管する前に DNSSEC を無効化し忘れたことが原因だろうと考えました。例えば Amazon Route 53 のドキュメント には下記のような記載があります。

ドメインで DNSSEC を使用し、ドメイン登録を Route 53 に移管する場合は、まず以前のレジストラで DNSSEC を無効にする必要があります。次に、ドメイン登録を移管した後、Route 53 でドメインの DNSSEC を設定する手順を実行します

問題点

ムームードメインが DNSSEC に対応していない

名前解決できない状態を解消するには、なんとかして DNSSEC を無効化してやる必要があるのですが、ムームードメインは DNSSEC に対応していないので、ムームードメインのコントロールパネルからユーザー操作で DNSSEC を無効化することはできないようでした。

DNSSEC検索結果

一度移管してしまうと60日間は他のレジストラに再度移管することもできない

いったん他の DNSSEC に対応しているレジストラに移管して、そちらでまず DENSSEC を無効化してから再度ムームードメインに戻すことも考えたのですが、一度ドメイン移管してしまうと ICANN のポリシーで60日間は再度ドメイン移管することはできない ため、もし本当にこれを行う場合は二度の移管で合計で120日間待つ必要がありそうでした。

レジストラへの問い合わせ

レジストラのサポートに問い合わせして、サポート側の権限で DNSSEC を解除してもらえないかと依頼してみました。まずは DNSSEC に対応している Gandi(移管元)のほうに問い合わせしてみました。

Gandi への問い合わせ

回答は NG でした。

  • DNSSEC レコードを編集できるのは現在のレジストラのみ
  • 移管済みであるため Gandi 側には DNSSEC レコードが既に存在しない

Gandiからの回答

ムームードメインへの問い合わせ

Gandi からの回答に「DNSSEC レコードを編集できるのは現在のレジストラのみ」とあったので、現在のレジストラ(移管先)であるムームードメインにも(ダメ元で)問い合わせしてみることにしました。

ダメ元で問い合わせ

実際に問い合わせしてみたところ、無事ご対応いただけて、名前解決できるようになりました!!!ムームードメインさん、ありがとうございます!一生付いてきます!!

ムームードメインからの回答

「上位ドメイン登録機関」とは同じ GMO グループのお名前ドットコムのことでしょうか。なるほど お名前ドットコムのほうは DNSSEC に対応している みたいですね。

まとめ

  • ドメイン移管する際は DNSSEC 無効化を忘れないようにしましょう
  • エンドユーザー向けの機能として DNSSEC を提供していないレジストラであっても、サポートの権限で DNSSEC を解除できる場合があります

ただ、今回はたまたまムームードメインさんが DNSSEC 無効化の対応をしてくれるレジストラだったので良かったんですが、これ、必ずしも全てのレジストラが対応してくれるとも限らない気がするので、やっぱりその場合は上述の通り、二度ドメイン移管する必要があって合計120日間待つとこになるんですかね。。そうだとしたら DNSSEC を無効化できない最初の60日間は名前解決できないままということになるので、ビジネスで使用しているドメインだったら絶対に許容できない最悪の事態ですね... やっぱり DNSSEC は落とし穴だなと思いました。

Discussion