最近いろいろ独自ドメインのDNSをいじって遊んでいるけれど、以前数万人の社員さんを抱える会社の大元のDNSの運用管理をしていたことがあります。

大きな会社だと高度なセキュリティ技術とかが導入されてそうに思うんですが、案外そうでもないです。

たとえばDNSだと、構成変更をミスするとインターネット上から対外的に会社を消滅させることもできてしまうので、何か新しいセキュリティ技術を導入しようとすると「いかにこの構成変更に問題がないか」の説明やその準備が大変で、へたすると年単位の時間がかかります。それがあまりにめんどくさいので、現状維持でいいやとなってしまいがちなんです。ほかにいくらでもやることがあるし。

そんなわけで、当時手もつけられなかったDKIMとかDMARCの導入や実験が今独自ドメインでらくらくできるのは楽しいです。

レジストラの引っ越し(移管)を検討する

• 日記さん DNSをCloudflareに引っ越す

DNSの引っ越しはこないだやった以前にも仕事でやったことがあったんですが、さらにその上位のレジストラの引っ越しはまだやったことがないです。

▼こないだやったこと

レジストラ：シンドメイン–権威DNS：シンドメイン
↓
レジストラ：シンドメイン–権威DNS：Cloudflare

▼やってみたいこと

レジストラ：シンドメイン–権威DNS：Cloudflare
↓
レジストラ：どこか別のところ–権威DNS：Cloudflare

こんな感じ。

ドメインを取ってから60日たたないとできないので、やるとしても11/10以降になります。

レジストラ移管をしてみたいわけ

レジストラ移管にはどんな作業があって、サービス停止なしでやるにはどこを気をつけたらいいのか実際体験してみたいというのもあるんですが、ほかにも理由があります。

★DNSSEC対応

• インターネット10分講座：DNSSEC - JPNIC

DNSには、今はまだ金融機関ぐらいでしか使われてない(？)DNSSECというセキュリティ技術があるんですが、Cloudflareは対応していても上位のシンドメインが対応してないので使えないんです。
(自分のDNSサーバのにせものを作られるハードルをめっちゃ上げる技術です。)

というわけで、独自ドメインでDNSSECを使ってみたいというのがひとつ。

★DNS管理のハードウェアトークン必須化

そしてDNSの乗っ取り耐性を上げたいというのがもうひとつ。

Cloudflareのログインには、2段階認証としてハードウェアトークン必須の設定にしてあるんですが、上位のシンドメインが乗っ取られたらCloudflareのセキュリティが無力化されてしまいます。「Cloudflareじゃない別のDNSが本物だ」という指定ができてしまうので。

シンドメインは2段階認証として、ワンタイムパスワードアプリが使えるんですが、6桁の数字だったら100万分の1の確率でまぐれ当たりもありえます。なので、レジストラ側のログインにもハードウェアトークンを必須にしたいです。

• porkbun.com | An oddly satisfying experience.

そんなわけで、引っ越し先はPorkbunにしようと考えています。

最初はCloudflareをレジストラにするのが一番よさそうに思えたんですが、.earthドメインの収容に対応してなくて断念(>_<)

あと、Porkbunはドメイン更新料がシンドメインより安そうなのもいいです。ドル払いになるので将来のレート次第やけど。