私と同じDNSサーバーを使用している人が私のドメインをハイジャックできますか？

新しいドメインを登録するとき、私はそれをreggistarの設定でドメインネームサーバーに割り当てることにより、ホスティングプロバイダーに送信します。たとえば、デジタルオーシャンでは、次のように入力します。

ns1.digitalocean.com
ns2.digitalocean.com
ns3.digitalocean.com

次に、サーバーのAレコードにドメイン設定を追加します。同じホスティングプロバイダーの他の誰でも、自分が所有するドメインにAレコードを追加できることがわかりました。

これを防止するものはありますか？同じドメインネームサーバーを使用する2つの異なるサーバーがAレコードを通じて自分自身にドメインを割り当てようとすると、ブラウザにドメインを入力したときにドメインは実際にどこで解決されますか？同じDNSサーバーでドメイン名の衝突を防ぐものは何ですか？

以下のコメントセクションを気にせず、編集履歴の以前の回答を気にしないでください。約1時間の友人との会話（@ joeQwerty、@ Iain、@ JourneymanGeekに感謝）、およびいくつかの陽気なハッキングの後に、私たちはあなたの質問と全体的な状況の両方の底に着きました。粗野さと最初は状況を完全に誤解して申し訳ありません。

プロセスを見ていきましょう。

1. wesleyisaderp.comたとえば、NameCheap.comで購入します。
2. レジストラとしてのNamecheapは、NSレコードを作成する場所です。実際に、デジタルオーシャンでDNSゾーンをホストするとします。
3. 光沢のある新しいドメインのNSレコードをns1.digitalocean.comとに向けns2.digitalocean.comます。
4. ただし、そのドメインを登録し、さらにNSレコードをDigital Oceanに変更したと判断できたとします。次に、デジタルオーシャンアカウントであなたを打ち負かし、wesleyisaderp.comゾーンを自分のものに追加しました。
5. * your *アカウントにゾーンを追加しようとしましたが、Digital Oceanはゾーンがすでにシステムに存在していると言っています！やばい！
6. にCNAME wesleyisaderp.comしwesleyisbetterthanyou.comます。
7. 陽気が続きます。

何人かの友人と私はちょうどこのシナリオを試しただけで、はい、うまくいきます。@JoeQwertyがドメインを購入し、デジタルオーシャンネームサーバーを指すが、そのゾーンが既にアカウントに追加されている場合、私はゾーンマスターであり、それを使用して何でもできます。

ただし、誰かが最初にDNSアカウントにゾーンを追加する必要があり、その後、NSホストが同じホストのネームサーバーを指すようにして、悪意のあることが発生することを考慮してください。さらに、ドメイン所有者は、必要に応じてNSレコードを切り替えて、解決策を不良ゾーンホストから移動できます。

これが起こる可能性は、控えめに言っても少し低いです。統計的には、52枚のトランプのデッキをシャッフルし、他の人間がこれまでに獲得したことのない、また他の人間が獲得することのない順序を得ることができると言われています。ここにも同じ理由があると思います。誰かがこれを悪用する可能性は非常に低く、より良いショートカットが存在するため、おそらく偶然に野生で起こることはありません。

さらに、あなたがレジストラでドメインを所有していて、誰かがたまたまデジタルオーシャンなどのプロバイダーでゾーンを作成したことがある場合、所有権の証明を提供してくれるかどうかを確認します。ドメイン名の所有者ではないため、存在する理由がないため、アカウントのゾーンを削除して削除してください。

しかし、Aレコードはどうですか

たとえばデジタルオーシャンなどのゾーンを最初に持つ人が、ゾーンを制御します。同じDNSインフラストラクチャ上に複数の同一ゾーンを持つことはできません。たとえば、上記の愚かな名前を使用すると、wesleyisaderp.comがDigital Oceanのゾーンである場合、Digital OceanのDNSインフラストラクチャの他の誰もアカウントに追加できません。

ここからが面白いところです。実際、wesleyisaderp.comをデジタルオーシャンアカウントに追加しました。さあ、あなたのものに追加してみてください。それは何も傷つけません。

そのため、wesleyisaderp.comにAレコードを追加することはできません。それはすべて私のものです。

しかし、どうでしょう...

@Iainが以下に指摘したように、上記の私のポイント＃4は実際には冗長すぎます。待つ必要もプロットする必要もまったくありません。私は作ることができ、数千のアカウントでゾーンのをして、後ろに座ると待ちます。技術的に。数千のドメインを作成し、それらが登録されるのを待ってから、それらが私のゾーンを設定したDNSホストを使用することを望んでいる場合...多分何か悪いことができますか？多分？しかし、おそらくそうではありませんか？

Digital OceanとNameCheapに謝罪

Digital OceanとNameCheapは一意ではなく、このシナリオとは関係がないことに注意してください。これは正常な動作です。彼らはすべての面で非難されていません。それが与えられた例であったので、私はちょうどそれらを使用しました、そして、彼らは非常に有名なブランドです。

ウェスリーの優れた答えに加えて、これを防ぐための解決策がすでにあることを付け加えたいと思います。DNSSECと呼ばれます。

基本は次のとおりです。

• ドメインを登録します（wesleyisaderp.comその理由をここで有名な名前で説明します）。
• 通常、ユーザー名とパスワードの組み合わせで認証するWebインターフェイスを介して、レジストラにネームサーバーを登録します。
• また、公開キーと秘密キーのペアを作成し、DNSKEYレコードの形式でレジストラに公開キーをアップロードします。（これが、レジストラがトップレベルドメインのルートサーバー（この場合はのルートサーバー.com）への信頼チェーンを設定する方法です。）繰り返しますが、独自のユーザー名/パスワードでログインしているときにこれをアップロードします。コンボなので、他の誰かのドメインではなく、あなたのドメインに接続されます。
• ネームサーバーに移動し、レコードを入力して、作成したゾーンファイルにプライベートキーで署名します。または、DNSホスティングサービスへのWebインターフェイスがある場合は、プライベートキーをアップロードして、ゾーンファイルに署名できるようにします。
• WesleyがドメインをハイジャックしてCNAMEをハイジャックしようとするとwesleyisbetterthanyou.com、彼の記録は、正しいキーで署名されていないため、.comルートドメインサーバーに受け入れられません。DNSホスティングプロバイダーが賢い場合、彼らはすぐにそのことを確認し、適切な秘密キーを取得しない限り、そのドメインにレコードを追加することさえ許可しません。
• 独自のレコードを入力すると、正しいキーで署名されるため、機能します。
• これで、ウェズリーに座って笑うことができます。

（Wesleyが説明する最初のケースでは、主なエラーは、デジタルオーシャンが誰かにドメインのDNSレコードを設定する前にドメインの所有権を確認しなかったということです。同じ問題を持つ少なくとも1つのスウェーデンのレジストラの）

レジストラにネームサーバーの使用を指示する前に、DigitalOceanでドメインの所有権を主張する（つまり、ドメインをアカウントに関連付ける）限り問題ありません。

誰かが既にあなたのドメインを自分のアカウントに関連付けている場合、DigitalOceanネームサーバーが権限を持つ前にあなたは知るでしょう。その場合は、DigitalOceanに連絡して、その人を自分のアカウントからブートするように依頼してください。

ベストプラクティスに沿って、{ns1、ns2、ns3} .DigitalOcean.comは、他の場所でホストされているドメインの再帰リゾルバーとして機能しません。そうした場合、およびDigitalOceanがホストするサーバーが汎用リゾルバーとしてそれらのサーバーを使用した場合、はるかに大きな問題が発生します。これは悪い習慣であることがよく知られていますが、それを間違っているホスティングプロバイダーを見つけるのはそれほど難しくないでしょう。

この問題は、誰もがそのようなネームサーバー（Digital Oceanなど）をリゾルバとして使用してはならないことを意味すると思います。なぜなら、誰でも既存のドメインのネームサーバーを作成できるからです。ドメインの所有権は簡単に証明できるので、ドメインの制御をめぐる戦いは関係ありませんが、たとえば、デジタルオーシャンでまだホストされていない既存のドメインを誰かが好きな場所に向けることができるという事実。

ボトムライン：ドメイン所有権の証明を必要としないホスティングサービスのDNSサーバーを信頼しない、これはたとえばMicrosoft O365とGoogleが行うことです）。