DNSSEC: A/wildcard versus NSEC3

Petr Tomasek tomasek na etf.cuni.cz
Středa Září 9 18:11:24 CEST 2015


On Thu, Sep 03, 2015 at 09:31:10AM +0200, Jan Kasprzak wrote:
> 	Dobry den,
> 
> provozujete nekdo validujici resolver? Ja nekolik, a obcas se mi stava,
> ze nejake FQDN nektery z nich neni schopen resolvovat, zatimco ostatni ano.
> Treba situaci nasledujiciho typu uz jsem videl vickrat:
> 
> http://dnsviz.net/d/www.restaurant-pavillon.cz/dnssec/
> 
> Podle tohoto existuje pro to jmeno jak korektne podepsany zaznam A
> a dokonce AAAA (zrejme jako instance wildcard zaznamu
> *.restaurant-pavillon.cz), ale zaroven existuji NSEC3 zaznamy,
> ktere popiraji existenci "www" v te domene.
> 
> Je tohle korektni? A jaky ma byt vysledek resolvovani toho "www."?
> BIND 9.9 na Fedore se zapnutou validaci mi to resolvuje jako existujici
> jmeno, zatimco BIND 9.7 na Debianu 6 mi vraci SERVFAIL (coz je taky
> zajimave, ocekaval bych kdyz uz tak NXDOMAIN).
> 
> A pak jeste poddotaz: existuji nejake radkove programy ktere se daji
> pouzivat pro takoveto prochazeni DNSSEC informaci? Ja jsem zkousel drill
> a dig, ale ani jeden nedela uplne to co chci - napriklad ani jeden nema
> nekde v implicitni konfiguraci korenovy verejny klic, takze prvni co 
> musim delat kdyz jednou za cas nekde potkam takovyto problem, je sehnat
> si korenovy klic v tom spravnem formatu toho spravneho programu. Druha
> vec je zpracovani NSEC3 - zase by bylo potreba, aby ten program umel jednoduse
> prevadet jmeno na hash podle konkretni soli v prislusne zone, a umoznit tak
> interpretovat ty NSEC3.
> 
> 	Diky,
> 
> -Y.

Zdravim!

Mne to unbound ve verzi 1.4.17 taky rezolvuje.

P.T.



Další informace o konferenci Linux