DNSSEC: A/wildcard versus NSEC3
Jan Kasprzak
kas na fi.muni.cz
Středa Září 9 17:12:39 CEST 2015
Pavel Kankovsky wrote:
: On Thu, 3 Sep 2015, Jan Kasprzak wrote:
:
: >Podle tohoto existuje pro to jmeno jak korektne podepsany zaznam A
: >a dokonce AAAA (zrejme jako instance wildcard zaznamu
: >*.restaurant-pavillon.cz), ale zaroven existuji NSEC3 zaznamy,
: >ktere popiraji existenci "www" v te domene.
: >
: >Je tohle korektni?
:
: Jestli tomu dobře rozumím, tak v případě použití wildcardu je to v
: zásadě správně. Server má v takové situaci vrátit pozitivní odpověď
: vygenerovanou wildcardem včetně RRSIG (to, že je to výsledek
: wildcardu, se pozná podle pole "Labels") a současně negativní
: odpověď potvrzující neexistenci konkrétního dotazovaného jména a
: oprávněnost aplikace wildcardu.
:
: Záznamy objevující se v této konkrétní situace zřejmě odpovídají
: výše popsanému. Čili to sice vypadá divně, ale pravděpodobně to je
: korektní.
:
: >A jaky ma byt vysledek resolvovani toho "www."?
:
: To, co určuje ten wildcardový záznam.
:
: >BIND 9.9 na Fedore se zapnutou validaci mi to resolvuje jako
: >existujici jmeno, zatimco BIND 9.7 na Debianu 6 mi vraci SERVFAIL
: >(coz je taky zajimave, ocekaval bych kdyz uz tak NXDOMAIN).
:
: Těžko říct. Je možné, že SERVFAIL to vrací z nějakého jiného důvodu.
Podobny problem mi ted nahlasili uzivatele u www.yogabrno.cz.
To ma taky "www." jako instanci wildcardu, a jako celek to ma NSEC3,
ktery existenci toho "www." popira.
Ono je to ale cele divne, ne? Protoze takhle muze utocnik-in-the-middle
vzit odpoved nameserveru, vyhodit z ni informaci ze "www.domena.cz"
je vlastne instance wildcardu "*.domena.cz", a poslat mi NXDOMAIN
s tim NSEC3 v dodatecne sekci, ktery mi "duveryhodnym" zpusobem popre,
ze by "www.domena.cz" existovalo. Ta odpoved neni podepsana jako celek
- podepsany je ten wildcard zvlast a NSEC3 taky zvlast. Fakt je takovyto
zadani problem v navrhu DNSSECu?
: >A pak jeste poddotaz: existuji nejake radkove programy ktere se daji
: >pouzivat pro takoveto prochazeni DNSSEC informaci?
:
: To bohužel nevím.
Hmm. Co uz. I tak diky za odpoved.
-Y.
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| New GPG 4096R/A45477D5 -- see http://www.fi.muni.cz/~kas/pgp-rollover.txt |
| http://www.fi.muni.cz/~kas/ Journal: http://www.fi.muni.cz/~kas/blog/ |
Smart data structures and dumb code works a lot better
than the other way around. --Eric S. Raymond
Další informace o konferenci Linux