Alguém usando o mesmo servidor DNS que eu pode sequestrar meus domínios?

Não importa a seção de comentários abaixo, e não importa as respostas anteriores no histórico de edição. Após cerca de uma hora de conversa com amigos (obrigado @joeQwerty, @Iain e @JourneymanGeek), e algumas conversas joviais, chegamos ao fundo da sua pergunta e da situação como um todo. Desculpe pela brusquidão e mal-entendido a situação completamente no início.

Vamos percorrer o processo:

1. Você compra wesleyisaderp.com, digamos, NameCheap.com.
2. Namecheap como seu registrador será onde você preencherá seus registros NS. Digamos que você realmente queira hospedar a zona DNS no Digital Ocean.
3. Você aponta os registros NS do seu novo domínio para ns1.digitalocean.come ns2.digitalocean.com.
4. No entanto, digamos que eu consegui determinar que você registrou esse domínio e, além disso, que você alterou seus registros NS para o da Digital Ocean . Então eu venci você para uma conta da Digital Ocean e adicionei a zona wesleyisaderp.com à minha.
5. Você tenta adicionar a zona em *sua* conta, mas a Digital Ocean diz que a zona já existe em seu sistema! Oh não!
6. Eu CNAME wesleyisaderp.compara wesleyisbetterthanyou.com.
7. Hilaridade segue.

Alguns amigos e eu acabamos de jogar exatamente esse cenário e, sim, funciona. Se @JoeQwerty comprar um domínio e apontá-lo para os servidores de nomes da Digital Ocean, mas eu já tiver essa zona adicionada à minha conta, sou o mestre da zona e posso fazer o que quiser com ela.

No entanto, considere que alguém teria que primeiro adicionar a zona à sua conta DNS e, em seguida, você teria que apontar seus registros NS para os servidores de nomes desse mesmo host para que algo nefasto acontecesse. Além disso, como proprietário do domínio, você pode alternar os registros NS a qualquer momento e mover a resolução para longe do host da zona ruim.

A probabilidade de isso acontecer é um pouco baixa, para dizer o mínimo. Diz-se que, estatisticamente, você pode embaralhar um baralho de 52 cartas e obter uma ordem que nenhum outro humano jamais obteve e nenhum outro humano jamais obterá. Acho que o mesmo raciocínio existe aqui. A probabilidade de alguém explorar isso é tão baixa, e existem atalhos melhores, que provavelmente não acontecerá na selva por acidente.

Além disso, se você possui um domínio em um registrador e alguém fez uma zona em um provedor como a Digital Ocean com a qual você colide, tenho certeza que se você fornecer prova de propriedade, eles perguntarão à pessoa que fez o zone em sua conta para removê-lo, pois não há motivo para sua existência, pois eles não são o proprietário do nome de domínio.

Mas e os registros A

A primeira pessoa a ter uma zona ligada, por exemplo, Digital Ocean, será aquela que a controlará. Você não pode ter várias zonas idênticas na mesma infraestrutura de DNS. Por exemplo, usando os nomes bobos acima, se eu tiver wesleyisaderp.com como uma zona na Digital Ocean, ninguém mais na infraestrutura de DNS da Digital Ocean poderá adicioná-lo à sua conta.

Aqui está a parte divertida: eu realmente adicionei wesleyisaderp.com à minha conta do Digital Ocean! Vá em frente e tente adicioná-lo ao seu. Não vai doer nada.

Portanto, você não pode adicionar um registro A a wesleyisaderp.com. É tudo meu.

Mas e quanto a...

Como @Iain apontou abaixo, meu ponto nº 4 acima é realmente muito detalhado. Não preciso esperar, tramar ou planejar nada. Posso criar milhares de zonas em uma conta e depois sentar e esperar. Tecnicamente. Se eu criar milhares de domínios e esperar que eles sejam registrados e esperar que eles usem os hosts DNS nos quais defini minhas zonas ... talvez eu possa fazer algo meio ruim? Pode ser? Mas provavelmente não?

Desculpas à Digital Ocean & NameCheap

Observe que Digital Ocean e NameCheap não são exclusivos e não têm nada a ver com esse cenário. Este é um comportamento normal. Eles são inocentes em todas as frentes. Acabei de usá-los porque esse foi o exemplo dado, e são marcas muito conhecidas.

Além da excelente resposta de Wesley, gostaria de acrescentar que já existe uma solução para evitar isso. Chama-se DNSSEC.

O básico é este:

• Você registra seu domínio (vou usar o nome eminente wesleyisaderp.comaqui, só porque).
• Você registra seus servidores de nomes com seu registrador, geralmente por meio de uma interface da Web na qual você se autentica com uma combinação de nome de usuário/senha.
• Você também cria um par de chaves pública/privada e carrega sua chave pública para seu registrador na forma de um registro DNSKEY. (É assim que o registrador pode configurar a cadeia de confiança para os servidores raiz do domínio de nível superior - neste caso, os servidores raiz para .com.) Novamente, você carrega isso quando está conectado com seu próprio nome de usuário/senha combo, então ele está conectado ao(s) seu(s) domínio(s) e não ao(s) de outra pessoa.
• Você vai para o servidor de nomes, insere seus registros e assina o arquivo de zona resultante com sua chave privada. Ou, se você tiver uma interface da Web para seu serviço de hospedagem DNS, faça o upload da chave privada para que eles possam assinar o arquivo de zona para eles.
• Quando Wesley tão rudemente tenta sequestrar seu domínio e CNAME-lo para wesleyisbetterthanyou.com, seus registros não serão aceitos pelos servidores de domínio raiz .com porque não estão assinados com a chave certa. Se o seu provedor de hospedagem de DNS for inteligente, eles verificarão isso imediatamente e nem permitirão que ele tente adicionar registros a esse domínio, a menos que ele tenha a chave privada correta.
• Quando você insere seus próprios registros, eles serão assinados pela chave certa, para que funcionem.
• Agora você pode sentar e rir de Wesley.

(No caso original, aquele que Wesley descreve, o principal erro seria que a Digital Ocean não verificou a propriedade de um domínio antes de permitir que alguém configurasse registros DNS para ele. Infelizmente, eles não estão sozinhos nisso; eu sei de pelo menos um registrador sueco com os mesmos problemas.)

Você ficará bem desde que reivindique a propriedade do domínio na DigitalOcean (ou seja, associe-o à sua conta) antes de dizer ao registrador para usar seus servidores de nomes.

Se alguém já tiver associado seu domínio à conta dele, você descobrirá antes que os servidores de nomes da DigitalOcean se tornem oficiais. E se isso acontecer, fale com a DigitalOcean sobre como remover essa pessoa de sua conta.

De acordo com as melhores práticas, {ns1,ns2,ns3}.DigitalOcean.com não atuam como resolvedores recursivos para domínios hospedados em outro lugar. Se o fizessem, e se os servidores hospedados pela DigitalOcean usassem esses servidores como resolvedores de uso geral, haveria um problema muito maior. Por mais que isso seja conhecido como uma prática ruim, provavelmente não é tão difícil encontrar provedores de hospedagem que erram, o que abre possibilidades de abuso.

Acho que esse problema significa que ninguém deve usar esses servidores de nomes (como o da Digital Ocean) como seus resolvedores, pois qualquer um pode criar um servidor de nomes para um domínio existente neles. A batalha pelo controle do domínio é irrelevante, pois a propriedade do domínio pode ser provada facilmente, mas o fato de alguém poder, por exemplo, direcionar qualquer domínio existente que NÃO esteja hospedado na Digital Ocean, para qualquer lugar que desejar.

Resumindo: não confie nos servidores DNS de nenhum serviço de hospedagem que não exija uma prova de propriedade do domínio (feito de maneira fácil e rápida, por exemplo, pelo método sugerido acima: adicionando um registro TXT com um determinado valor no domínio primeiro , isso é o que o Microsoft O365 e o Google fazem, por exemplo).