概要
CloudFlareをドメインのレジストラーとして使っていたのですが、別のレジストラーに移行しました。
しかし、その際にドメイン移管はうまくいったのですが、DNSSECの設定が残っており、ドメインを引く際にうまくいかないという問題が発生しました。
その顛末について書きます。記事の執筆時点では未解決です。
ドメイン移管
CloudFlareでは、キャッシュポイズニングというサイバー攻撃へ対抗するためにDNSSECという機能を利用することができます。これは、DNSへの問い合わせの際に、勝手に他のサーバーが偽の応答を返すことができる問題に対処するものです。
ドメイン移管の際に、DNSSECが使えるCloudFlareから、使うことができない別のレジストラに移行したのですが、なぜかDNSSECが有効になったまま移行してしまい、そもそもDNSSECに対応していないレジストラなので無効にすることができず、移管後のDNSサーバーから正しくレコードを引けなくなってしまいました。
DNSSECが原因と判定した理由
そもそもなぜDNSSECが原因と思っているかというと、世界中のDNSサーバーのリクエストを知ることができるサービスを用いて、DNSSEC用のDSレコードを引こうとすると、なぜか引けてしまうからです。
CloudFlareでのDNSサーバーの設定が残っているのか、確認してみると、次のように表示されていました。
DNSSECの設定用のDSレコードが削除されると、DNSSECの設定が解除されるようですが、その設定がレジストラから消えていないということのようです。
つまり、レジストラの方に原因があるような文章になっています。
とりあえず、CloudFlareをDNSサーバーとして利用するのであれば、既存のDNSSECの設定が残っているので、エラーは発生しないようですので、DNSサーバーだけCloudFlareを使っています。
今後の予定
現在、レジストラへの連絡をしようと考えていますが、平日しか窓口が開いていないので、次の平日を待って問い合わせる予定です。
しかし、DNSSECに対応していないレジストラに移管ということで、どうなるか分からずとても不安です。
さいごに
ドメイン移管で、このような事態になるとは思いませんでした。