DNSSEC: A/wildcard versus NSEC3

Jan Kasprzak kas na fi.muni.cz
Středa Září 9 17:12:39 CEST 2015 

Pavel Kankovsky wrote:
: On Thu, 3 Sep 2015, Jan Kasprzak wrote:
: 
: >Podle tohoto existuje pro to jmeno jak korektne podepsany zaznam A
: >a dokonce AAAA (zrejme jako instance wildcard zaznamu
: >*.restaurant-pavillon.cz), ale zaroven existuji NSEC3 zaznamy,
: >ktere popiraji existenci "www" v te domene.
: >
: >Je tohle korektni?
: 
: Jestli tomu dobře rozumím, tak v případě použití wildcardu je to v
: zásadě správně. Server má v takové situaci vrátit pozitivní odpověď
: vygenerovanou wildcardem včetně RRSIG (to, že je to výsledek
: wildcardu, se pozná podle pole "Labels") a současně negativní
: odpověď potvrzující neexistenci konkrétního dotazovaného jména a
: oprávněnost aplikace wildcardu.
: 
: Záznamy objevující se v této konkrétní situace zřejmě odpovídají
: výše popsanému. Čili to sice vypadá divně, ale pravděpodobně to je
: korektní.
: 
: >A jaky ma byt vysledek resolvovani toho "www."?
: 
: To, co určuje ten wildcardový záznam.
: 
: >BIND 9.9 na Fedore se zapnutou validaci mi to resolvuje jako
: >existujici jmeno, zatimco BIND 9.7 na Debianu 6 mi vraci SERVFAIL
: >(coz je taky zajimave, ocekaval bych kdyz uz tak NXDOMAIN).
: 
: Těžko říct. Je možné, že SERVFAIL to vrací z nějakého jiného důvodu.

	Podobny problem mi ted nahlasili uzivatele u www.yogabrno.cz.
To ma taky "www." jako instanci wildcardu, a jako celek to ma NSEC3,
ktery existenci toho "www." popira.

	Ono je to ale cele divne, ne? Protoze takhle muze utocnik-in-the-middle
vzit odpoved nameserveru, vyhodit z ni informaci ze "www.domena.cz"
je vlastne instance wildcardu "*.domena.cz", a poslat mi NXDOMAIN
s tim NSEC3 v dodatecne sekci, ktery mi "duveryhodnym" zpusobem popre,
ze by "www.domena.cz" existovalo. Ta odpoved neni podepsana jako celek
- podepsany je ten wildcard zvlast a NSEC3 taky zvlast. Fakt je takovyto
zadani problem v navrhu DNSSECu?

: >A pak jeste poddotaz: existuji nejake radkove programy ktere se daji
: >pouzivat pro takoveto prochazeni DNSSEC informaci?
: 
: To bohužel nevím.

	Hmm. Co uz. I tak diky za odpoved.

-Y.

-- 
| Jan "Yenya" Kasprzak   <kas at {fi.muni.cz - work | yenya.net - private}> |
| New GPG 4096R/A45477D5 -- see http://www.fi.muni.cz/~kas/pgp-rollover.txt |
| http://www.fi.muni.cz/~kas/     Journal: http://www.fi.muni.cz/~kas/blog/ |
   Smart data structures and dumb code works a lot better
   than the other way around.           --Eric S. Raymond

Další informace o konferenci Linux