DNSSEC: A/wildcard versus NSEC3
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Sobota Září 5 23:44:13 CEST 2015
On Thu, 3 Sep 2015, Jan Kasprzak wrote:
> Podle tohoto existuje pro to jmeno jak korektne podepsany zaznam A
> a dokonce AAAA (zrejme jako instance wildcard zaznamu
> *.restaurant-pavillon.cz), ale zaroven existuji NSEC3 zaznamy,
> ktere popiraji existenci "www" v te domene.
>
> Je tohle korektni?
Jestli tomu dobře rozumím, tak v případě použití wildcardu je to v zásadě
správně. Server má v takové situaci vrátit pozitivní odpověď vygenerovanou
wildcardem včetně RRSIG (to, že je to výsledek wildcardu, se pozná podle
pole "Labels") a současně negativní odpověď potvrzující neexistenci
konkrétního dotazovaného jména a oprávněnost aplikace wildcardu.
Záznamy objevující se v této konkrétní situace zřejmě odpovídají výše
popsanému. Čili to sice vypadá divně, ale pravděpodobně to je korektní.
> A jaky ma byt vysledek resolvovani toho "www."?
To, co určuje ten wildcardový záznam.
> BIND 9.9 na Fedore se zapnutou validaci mi to resolvuje jako existujici
> jmeno, zatimco BIND 9.7 na Debianu 6 mi vraci SERVFAIL (coz je taky
> zajimave, ocekaval bych kdyz uz tak NXDOMAIN).
Těžko říct. Je možné, že SERVFAIL to vrací z nějakého jiného důvodu.
> A pak jeste poddotaz: existuji nejake radkove programy ktere se daji
> pouzivat pro takoveto prochazeni DNSSEC informaci?
To bohužel nevím.
--
Pavel Kankovsky aka Peak "Que sais-je?"
Další informace o konferenci Linux