こんにちは。
Google が Google Domains を Squarespace 社に売却してしまいますよ、というニュースが数日まえに発表され、界隈がざわめいていますね。
既存の Google Domains を利用しているアカウントの人はそのまま Squarespace へ移行され、特に何もする必要はないとアナウンスされていますが、
個別で移行を検討されている場合、DNSSECの設定がされていると問題が発生しそうだったので少し調べてみました。
DNSSEC とは
DNS応答に添付された署名を受信側で検証することにより、正しい相手から届いた正しいデータであることを確認できるようにするための技術
らしいです。
DNSSEC 何が嬉しい?
受信側で送った人が正しいということを検証するため、キャッシュポイズニングなどに対する耐性があります。(すごくざっくり)
DNSSEC 使っているかの確認
コマンドで調べる場合
dig コマンドで確認できます。
実行例
dig +dnssec group.ntt
ANSER SECTION で RRSIG レコードが帰ってきている場合、DNSSEC が有効化されていると判断できます。
例:
;; ANSWER SECTION: group.ntt. 3473 IN A 45.60.83.32 group.ntt. 3473 IN A 45.60.134.32 group.ntt. 3473 IN RRSIG A 13 2 3600 20230709032542 20230608032542 39982 group.ntt. 985m3NeuAmDoxge696yATY6DawqYk8MkUeP7uHbv13hqLnCHdamcmbYb hLvrnzPQW2DCTdMKmAcblArVaWu8ww==
WEB で調べる場合
https://dnsviz.net/ などを利用して調べることができます。
以下の図のような感じで、 group.ntt の DNS サーバ(レコードを返却している末端のサーバ)に DNSKEY の設定が見えている場合には DNSSEC が有効化されていると思って良さそうです。
DNSSEC が有効になっているドメインを Google Domains から他のレジストラに移行する場合。
DNSSEC の設定を 移行前に無効化し 移行を行う必要があるようです。
これが漏れていると、見かけ上 DNS の移行が済んでいても、名前解決ができないという罠にハマってしまいます。
きをつけましょう。
参考
DNSViz | A DNS visualization tool
Google Domains終了へ!移管の際はご注意ください - Value Note - わかる、なるほどなIT知識。
