
Public Suffix List (ドメイン名)

[61] public suffix あるいは eTLD (effective TLD) は、 TLD や、 co.jp など実質的に TLD のように機能するドメインです。 TLD 内のサブドメインの構造は TLD ごとに異なるため、 機械的に eTLD を決定することはできません。 そのため Public Suffix List (PSL) として一覧表が管理されています。

[62] public suffix は、1つのサイトの単位を決めるもので、 セキュリティー上も極めて重要となっています。

[63] 例えば example.co.jpa.example.co.jppublic suffixco.jp で、 example.co.jpサイトの単位となります。もし example.co.jpドメインco.jpjpクッキーを発行できてしまうと、 異なるサイトであるはずの test.co.jp にも干渉できてしまいます。 それを防ぐため、 クッキーの処理で PSL を参照することになっています。

[119] 昔からクッキーの適用可能範囲の決定など重要なところで使われていたのですが、 近年では SameSite のようにWeb開発者の目に直接触れるところでも、 目立って使われるようになってきました。 Web開発の現場でますます重要な概念となるとみられます。


  1. 仕様書
  2. 意味
  3. 演算
    1. PSL に含まれるか否か
    3. PSL に含まれるか、 . + 入力が PSL と末尾一致するかのいずれかであるか否か
    4. ドメインの public suffix
    5. 不適用
  4. データファイル
  5. 変化
  6. 代替ルート
  7. 歴史



[33] PSL に掲載されたドメイン (public suffix) は、 ICANNドメイン私的ドメインに分類されます >>15

[34] ICANN ドメイン (ICANN domain) gTLDccTLD と、 それらの下位で分類を表す (gTLDccTLD の管理者が決定した) ドメインです。

[58] com, jp, co.jp, info などがあります。

[35] 私的ドメイン (PRIVATE domain) は、 私企業等 (独自のドメイン階層の販売者、クラウドサービス事業者、DDNS 事業者等) が自身の保有するドメインを第三者に割り当てているものです。

[59] blogspot.comgithub.io などがあります。

[78] 名前解決DNSプロトコル上は、 両者に特別な違いはありません。 運用上、 ICANN から直接認知されているかどうかが違うだけです。

ICANNドメインは比較的安定しており、 私的ドメインドメイン失効や売却、事業変更などで流動的ではありますが、 ICANNドメインの構造が変更されることも少なからずありませんし、 安定して運用されている私的ドメインもありますから、 性格の違いはあまりありません。

ICANNドメインICANN の指針に基づき比較的公正に運用されているとされますが、 運用企業の方針や所属国家の政治的影響も受けていますから、 決定的な違いともいえません。

[60] public suffixeTLD というとき、特に注記がなければ普通はこれら両方を合わせて指しています。

[121] public suffix であるドメイン名public suffix list domain という言い方をすることがあるようです。 どこかで定義された用語ではなく、俗用でしょうか。

[120] public suffix (パブリックサフィックス) の安定した訳語は見当たりません。 原則通りに訳すなら公的接尾辞ないし公衆接尾辞でしょうか。 PSL (パブリックサフィックスリスト) は公衆接尾辞リストなどとなります。 まああえて訳すまでもないかもしれません。


PSL に含まれるか否か#

[21] Set-Cookie: ヘッダーDomain 属性の処理では、 PSL を参照して検査します。 Cookie利用者エージェントは、できれば最新の public suffix のリストを使うべきです >>20


[41] Chrome は、ワイルドカード証明書について、 ワイルドカード + ICANN DOMAINS になっていると一致させません。

[32] BR に従う CAPSL の ICANN DOMAINS に掲載された public suffix のみについてのワイルドカード証明書を発行してはなりません。

PSL に含まれるか、 . + 入力が PSL と末尾一致するかのいずれかであるか否か#

[24] document.domain設定器は、 新しい値が適切かどうか Public Suffix List によって検査しなければなりません >>23

[43] これより、関連する類似起源閲覧文脈群の単位の決定に PSL が影響します。

[86] 文字列接尾辞ホスト元ホスト登録可能ドメイン接尾辞であるか等しい (is a registrable domain suffix of or is equal to) かどうかは、 次のように定められます >>85

  1. [87] 接尾辞空文字列の場合、
    1. [88] を返し、ここで停止します。
  2. [89] ホストを、接尾辞ホスト構文解析器を適用した結果に設定します。
  3. [90] ホスト失敗なら、
    1. [91] を返し、ここで停止します。
  4. [92] ホスト元ホストホスト等価ない場合、
    1. [93]
      ... のいずれかの場合、
      1. [99] を返し、ここで停止します。
  5. [100] を返します。

[101] なお、 PSL との比較の際には PSL 側の値にもホスト構文解析器を適用しなければなりません >>85

[102] 次の場面で呼び出されます。

ドメインの public suffix#

[42] eTLD+1 は、その定義より、 PSL に依存して決まります。 DMARCOrganizational Domain も同じ意味のようです。

[46] Firefox は、設定画面や履歴表示、アドレスバーの表示をサイト単位とするため、 PSL を使っています >>45

[49] Chrome は、アドレスバーの入力が URL検索語か判断するために PSL を使っています >>45

[44] Let's Encrypt証明書発行頻度制限に PSL (eTLD+1) を使っています >>45


[65] WPAD の処理にも PSL を適用して良さそうなものですが、 実装は他の方法を採っているようです。

[67] includeSubDomains の処理にも適用されても良いのかもしれませんが、 そうはなっていないようです。


[57] PSL 由来のデータを含む各種プログラミング言語ライブラリーなどもありますが、 PSL はかなり頻繁に更新されていますから、それにどのように追随するのかはよく検討する必要があります。 データファイルがライブラリーに埋め込まれていて、たまにしか更新されないものや、 ライブラリー自体は頻繁に更新されていてもパッケージマネージャーの都合や自社独自の指針などで依存ライブラリーをたまにしか更新できないような場合、 誤った結果を返したり、場合によってはセキュリティー的に問題のある状態となることもありますから、 注意が必要です。


[77] PSL は、数日ごとに更新されています。実装は、それなりの頻度でこれに追随する必要があります。

[70] PSL の内容が変化する (のを実装がデータファイル更新により適用する) ことで、 プロトコル要素の処理が変化します。それによって、それまで可能だった操作があるときから不可能になったり、 その逆になったりすることがあります。

[71] 例えばある時点まで document.domain の設定により通信できていた Webサイト同士が、ある時から通信できなくなるかもしれません。

[72] ある意味でこれは非互換な変更が予期せぬタイミングで突然発生するものですが、 実用上はそれが問題となることはまずありません。 PSLドメイン名管理機関の意向に従い変更されますから、 そもそもそれと矛盾する形で利用されているのはおかしな話です。

[73] ただ、新規に追加された gTLD と矛盾する内部名を使っていたケースでは、 問題が発生する可能性はあります。


[79] PSL は、代替ルートには対応していません。

[80] これは、ある意味で Web代替ルートと互換性がないことを表します。 代替ルートの提供する非標準TLDSLD 以下に public suffix 相当の階層を設けていないのならば問題ありませんが、 設けているのであれば、本来のサイトの範囲を超えてクッキーを設定できるなど、 セキュリティーの問題が発生するかもしれません。


[54] Mozilla が導入し、管理し続けています。

[55] 他のブラウザーも追随して Mozilla の提供するデータファイルを使うようになりました。 Web 技術の仕様書からも規定の一部として参照されるようになりました。

[56] Mozilla が導入を決めた当初、 DNS 関連事業者等の中には反対する人達もいました。 しかし現にセキュリティーの問題が起こって対策が必要な状況であるにも関わらず、 有効な対案を示すことはできませんでした。

