DNSSEC: A/wildcard versus NSEC3

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Sobota Září 5 23:44:13 CEST 2015


On Thu, 3 Sep 2015, Jan Kasprzak wrote:

> Podle tohoto existuje pro to jmeno jak korektne podepsany zaznam A
> a dokonce AAAA (zrejme jako instance wildcard zaznamu
> *.restaurant-pavillon.cz), ale zaroven existuji NSEC3 zaznamy,
> ktere popiraji existenci "www" v te domene.
>
> Je tohle korektni?

Jestli tomu dobře rozumím, tak v případě použití wildcardu je to v zásadě 
správně. Server má v takové situaci vrátit pozitivní odpověď vygenerovanou 
wildcardem včetně RRSIG (to, že je to výsledek wildcardu, se pozná podle 
pole "Labels") a současně negativní odpověď potvrzující neexistenci 
konkrétního dotazovaného jména a oprávněnost aplikace wildcardu.

Záznamy objevující se v této konkrétní situace zřejmě odpovídají výše 
popsanému. Čili to sice vypadá divně, ale pravděpodobně to je korektní.

> A jaky ma byt vysledek resolvovani toho "www."?

To, co určuje ten wildcardový záznam.

> BIND 9.9 na Fedore se zapnutou validaci mi to resolvuje jako existujici 
> jmeno, zatimco BIND 9.7 na Debianu 6 mi vraci SERVFAIL (coz je taky 
> zajimave, ocekaval bych kdyz uz tak NXDOMAIN).

Těžko říct. Je možné, že SERVFAIL to vrací z nějakého jiného důvodu.

> A pak jeste poddotaz: existuji nejake radkove programy ktere se daji
> pouzivat pro takoveto prochazeni DNSSEC informaci?

To bohužel nevím.

-- 
Pavel Kankovsky aka Peak                      "Que sais-je?"


Další informace o konferenci Linux