未使用で放置していたドメインの再利用には気を付けたい
はじめに
こんにちは。コンサルティング部の津谷です。
最近検証中にあったトラブルについて、備忘録もかねて記載します。
事象内容
Route53をレジストラとして、新規ドメインを発行したときのことです。
こちらは、検証以前に購入していたものでしばらく使用していませんでした。
ALBを検証で使う場面があったので、インターネットからHTTPSで通信させるため以下の準備をしました。
- 発行したドメインを利用するため、パブリックホストゾーンを作成
- ACMでパブリック証明書をリクエスト
- ACMでリクエストした証明書のドメイン検証設定
トラブルシューティングの流れ
上記を設定しても以下のように証明書が保留中になっていました。

まずはドメイン検証で正しくCNAMEレコードがホストゾーンに追加されているか確認しました。

ホストゾーン側も見てみます。

CNAME名をコピーペーストして、「Ctrl+F」の検索で貼り付けして、一致していることを確かめました。
次に見たのは、ホストゾーンのネームサーバ側の設定です。レジストラ側で設定されているNSレコードとホストゾーンで設定されているNSレコードが一致しているかを確認すると、異なっていました。

基本的に、発行したドメインで新規にホストゾーンを作成する場合は、NSレコードが一致しているはずです。
ここで思い出したのが、過去の検証で同ドメインで作成したホストゾーンを削除して今回作成しなおしたことでした。
再度ホストゾーンを作成しなおした場合はNSレコードが自動割り当てされるものの、別のネームサーバに名前解決するよう更新されているのです。ここが1つ目の盲点でした。
公式ドキュメントにも記載がございます。ホストゾーンが指すNSレコードを確認して、登録済みのドメインに登録する必要があるようです。ということで、以下のように作成したホストゾーンのNSレコードに書き換えました。

注意なのが、ホストゾーン側のNSレコードを変更するのはNGです。DNS委任の仕組みに関連する部分ですが、レジストラ側のNSレコードはインターネットへ公開される情報であり、そもそもこれが間違っているとホストゾーンに到達できません。
整理してみました。
①ユーザがブラウザでxxxx.comにアクセス
②DNSリゾルバーがリクエストを受け取る
③DNSリゾルバーがルートDNSサーバに問い合わせをする(「.」の部分)
④ルートサーバは「.com」のTLDサーバにリクエストを送るようリゾルバーに返答
⑤DNSリゾルバーがTLDサーバに問い合わせをする
⑥TLDサーバはドメインを保持しているネームサーバを教えてくれる。
TLDサーバが保持するネームサーバの情報はレジストラに登録されたNSレコードから取得しています。
そのため、レジストラにドメインを管理するネームサーバの情報を正しく登録できていないとそもそもホストゾーン内のレコード情報を取りに行けないということですね。
公式ドキュメントにも以下でNSレコードは極力修正しないようにすると明言しています。
確認ポイントはもう一点ありました。それは過去にドメインを発行してからしばらく利用していなかったということです。
ドメインを確認すると、ClientHoldの状態になっており停止されていました。

上記のドメインのステータスコードがOKになっていれば良いです。
自分の場合は、以下のドキュメントにもある通り
新しいドメインを登録した際に、確認Eメールのリンクをクリックしていなかったことが原因でした。
上記をしていないと、ポップアップでEメール再送が可能になり、そこから検証用のリンクを送ってもらう形になります。
メールが届いたらクリックします。宛先「Amazon Route 53 noreply@registrar.amazon」から以下のメールが届きました。

マスキングしていますが、リンクを踏むと検証が成功したとメッセージが出力されます。

対応後、数分で証明書は発行済みのステータスになっており正常になりました。

ドメインが不要になった際の対応
ドメインを正しく運用していれば起こらなかった事象です。
今後利用想定がない場合はドメインを削除しましょう。
ただし、TLDによっては削除できない場合があります。制約事項は以下の公式ドキュメントをご参照ください。
または、以下のようにドメインの自動更新機能をOFFにしていれば期限切れ後に自動で解放されます。

ドメインを削除しても、ホストゾーンは残り課金が継続するため、こちらも削除しておきましょう。
最後に
検証などで既存のドメインを流用すると結構気にするポイントがあることがわかりました。
証明書のCNameレコード登録を忘れていたなどは、公式やネットでもエラー原因としてよくあるものかと思いますが、そこではなかったので少し調査に時間がかかってしまいました。2度と同じミスをしないようにという戒めの観点でもブログに残しておくのは有用ですね。同じ様な箇所でハマる方もいるかと思いますのでご活用ください。






