DNSSEC: A/wildcard versus NSEC3

Jan Kasprzak kas na fi.muni.cz
Čtvrtek Září 3 09:31:10 CEST 2015


	Dobry den,

provozujete nekdo validujici resolver? Ja nekolik, a obcas se mi stava,
ze nejake FQDN nektery z nich neni schopen resolvovat, zatimco ostatni ano.
Treba situaci nasledujiciho typu uz jsem videl vickrat:

http://dnsviz.net/d/www.restaurant-pavillon.cz/dnssec/

Podle tohoto existuje pro to jmeno jak korektne podepsany zaznam A
a dokonce AAAA (zrejme jako instance wildcard zaznamu
*.restaurant-pavillon.cz), ale zaroven existuji NSEC3 zaznamy,
ktere popiraji existenci "www" v te domene.

Je tohle korektni? A jaky ma byt vysledek resolvovani toho "www."?
BIND 9.9 na Fedore se zapnutou validaci mi to resolvuje jako existujici
jmeno, zatimco BIND 9.7 na Debianu 6 mi vraci SERVFAIL (coz je taky
zajimave, ocekaval bych kdyz uz tak NXDOMAIN).

A pak jeste poddotaz: existuji nejake radkove programy ktere se daji
pouzivat pro takoveto prochazeni DNSSEC informaci? Ja jsem zkousel drill
a dig, ale ani jeden nedela uplne to co chci - napriklad ani jeden nema
nekde v implicitni konfiguraci korenovy verejny klic, takze prvni co 
musim delat kdyz jednou za cas nekde potkam takovyto problem, je sehnat
si korenovy klic v tom spravnem formatu toho spravneho programu. Druha
vec je zpracovani NSEC3 - zase by bylo potreba, aby ten program umel jednoduse
prevadet jmeno na hash podle konkretni soli v prislusne zone, a umoznit tak
interpretovat ty NSEC3.

	Diky,

-Y.

-- 
| Jan "Yenya" Kasprzak   <kas at {fi.muni.cz - work | yenya.net - private}> |
| New GPG 4096R/A45477D5 -- see http://www.fi.muni.cz/~kas/pgp-rollover.txt |
| http://www.fi.muni.cz/~kas/     Journal: http://www.fi.muni.cz/~kas/blog/ |
           Smart data structures and dumb code works a lot better
           than the other way around.           --Eric S. Raymond


Další informace o konferenci Linux