Googleサーチコンソールの所有権確認のために DNS へ TXT レコードを追加したところ、 特定のサブドメインだけが表示されなくなった
という相談を受けた。
ルートドメインや他のサブドメインは問題なく表示されており、 一見すると DNS 障害のようにも見えるが、状況はそれほど単純ではなかった。
本記事は、この相談内容をもとに、 DNS / SSL / HSTS の各レイヤを切り分けながら原因を整理し、 復旧に至るまでの考え方と、再発防止のための運用上の注意点をまとめた技術ログである。
発生していた症状
- ルートドメイン:表示される
- 既存のサブドメイン:表示される
- ある特定のサブドメイン:表示されない
- DNS は正しく名前解決できている
curlでは 200 OK が返る- ブラウザでは「アクセスできない」
DNS が解決できている以上、 単純なレコード設定ミスではなさそうだ、というところから切り分けを始めた。
切り分けの過程
DNSの確認
nslookup sub.example.com
nslookup sub.example.com authoritative-dns
nslookup sub.example.com public-dns- authoritative DNS では正しく A レコードが存在
- パブリック DNS からも解決可能
👉 DNS 自体は正常
Webサーバへの直接アクセス
curl -I -H "Host: sub.example.com" http://xxx.xxx.xxx.xxxHTTP/1.1 200 OK
Server: nginx
Strict-Transport-Security: max-age=15768000; includeSubDomains; preloadここで、重要なヒントが得られた。
着目点:HSTS preload の存在
レスポンスヘッダに以下が含まれていた。
Strict-Transport-Security: includeSubDomains; preload- 対象のルートドメインは HSTS preload 登録済み
includeSubDomainsにより、すべてのサブドメインで HTTPS が強制- ブラウザは HTTP アクセスを行う前に、内部的に HTTPS へ切り替える
この構成では、DNS や Web サーバが正しくても、 SSL 証明書に不整合があるサブドメインはブラウザが即座に拒否する。
なぜ TXT レコード追加を「きっかけ」に問題が表面化したのか
相談内容と時系列を整理すると、 TXT レコード追加そのものが直接 SSL の状態を変化させたわけではない。
DNS・SSL・HSTS は本来独立したレイヤであり、 DNS ゾーンの更新が直接 SSL 証明書の有効性や HSTS 判定を変更する仕組みは存在しない。
一方で実務的には、DNS 変更を契機としてアクセス経路やキャッシュ状態が整理され、 それまで目立たなかった SSL 証明書の不整合が結果として顕在化することがある。
本件も、既存の SSL 証明書の状態不整合が DNS 変更を契機に表面化したケースと判断した。
対応と復旧
該当サブドメインの SSL 証明書を再取得
- SSL を一度無効化
- 数分待機
- 再度有効化(再取得)
これは理論的必然というより、 証明書再発行や Web サーバ設定再生成をまとめて行うための
実務的な復旧手段である。
結果として、すべての環境から正常にアクセスできる状態に復旧した。
再発防止:今回の事象から導いた運用ルール
今回のトラブルは DNS 設定ミスではなく、 DNS変更を契機として既存の SSL 証明書不整合が顕在化したケースだった。
HSTS preload は DNS 設定から判別できないため、 再発防止には判定ではなく 運用ルールとして前提化することが重要になる。
DNS変更時の運用ルール
- DNS レコードを変更した際は、影響範囲のサブドメインの SSL 状態を確認する
- SSL証明書の有効期限・SAN・自動更新状態を併せて確認する
- HSTS preload 環境では HTTP による暫定確認を行わない
- 切り分けは
curlと authoritative DNS を優先し、ブラウザ確認は最後に行う
まとめ
- TXT レコード追加は正しい操作だった
- 問題の本質は HSTS preload 環境下で顕在化した SSL 証明書の不整合
- DNS・SSL・HSTS は独立したレイヤだが、運用上は相互に影響が現れることがある
- 重要なのは因果を単純化せず、問題発覚の契機を理解した運用である
同様の構成を取っている環境では、 同じ現象に遭遇する可能性がある。
本記事が、切り分け時の一助になれば幸いである。