DNSSEC: A/wildcard versus NSEC3
Jan Kasprzak
kas na fi.muni.cz
Čtvrtek Září 3 09:31:10 CEST 2015
Dobry den,
provozujete nekdo validujici resolver? Ja nekolik, a obcas se mi stava,
ze nejake FQDN nektery z nich neni schopen resolvovat, zatimco ostatni ano.
Treba situaci nasledujiciho typu uz jsem videl vickrat:
http://dnsviz.net/d/www.restaurant-pavillon.cz/dnssec/
Podle tohoto existuje pro to jmeno jak korektne podepsany zaznam A
a dokonce AAAA (zrejme jako instance wildcard zaznamu
*.restaurant-pavillon.cz), ale zaroven existuji NSEC3 zaznamy,
ktere popiraji existenci "www" v te domene.
Je tohle korektni? A jaky ma byt vysledek resolvovani toho "www."?
BIND 9.9 na Fedore se zapnutou validaci mi to resolvuje jako existujici
jmeno, zatimco BIND 9.7 na Debianu 6 mi vraci SERVFAIL (coz je taky
zajimave, ocekaval bych kdyz uz tak NXDOMAIN).
A pak jeste poddotaz: existuji nejake radkove programy ktere se daji
pouzivat pro takoveto prochazeni DNSSEC informaci? Ja jsem zkousel drill
a dig, ale ani jeden nedela uplne to co chci - napriklad ani jeden nema
nekde v implicitni konfiguraci korenovy verejny klic, takze prvni co
musim delat kdyz jednou za cas nekde potkam takovyto problem, je sehnat
si korenovy klic v tom spravnem formatu toho spravneho programu. Druha
vec je zpracovani NSEC3 - zase by bylo potreba, aby ten program umel jednoduse
prevadet jmeno na hash podle konkretni soli v prislusne zone, a umoznit tak
interpretovat ty NSEC3.
Diky,
-Y.
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| New GPG 4096R/A45477D5 -- see http://www.fi.muni.cz/~kas/pgp-rollover.txt |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
Smart data structures and dumb code works a lot better
than the other way around. --Eric S. Raymond
Další informace o konferenci Linux