DNSSEC: A/wildcard versus NSEC3
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Středa Září 9 22:41:42 CEST 2015
On Wed, 9 Sep 2015, Jan Kasprzak wrote:
> Ono je to ale cele divne, ne? Protoze takhle muze utocnik-in-the-middle
> vzit odpoved nameserveru, vyhodit z ni informaci ze "www.domena.cz"
> je vlastne instance wildcardu "*.domena.cz", a poslat mi NXDOMAIN
> s tim NSEC3 v dodatecne sekci, ktery mi "duveryhodnym" zpusobem popre,
> ze by "www.domena.cz" existovalo. Ta odpoved neni podepsana jako celek
> - podepsany je ten wildcard zvlast a NSEC3 taky zvlast. Fakt je takovyto
> zadani problem v navrhu DNSSECu?
Finta je v tom, že samotný NSEC/NSEC3 pro dotazované jméno nestačí. Je
potřeba ještě záznam dokazující, že neexistuje ani ten wildcard. Dobře je
to vidět na nic.cz, kde mají staré NSEC-y, a tak jsou tam všude čitelná
jména. Když se zeptám na qqqq.nic.cz, tak dostanu dvě negativní odpovědi:
nic.cz. IN NSEC 6to4.nic.cz. A NS SOA MX AAAA RRSIG NSEC DNSKEY
public-r-02.nic.cz. IN NSEC quido-b-01.nic.cz. A AAAA RRSIG NSEC
Ta druhá dokazuje, že neexistuje přímo qqqq.nic.cz. Ale ještě je potřeba
ta první, která popírá existenci wildcardu. Viz RFC 5155, 7.2.2. Name
Error Responses. (Tedy přesněji řečeno je ta první odpověď vlastně potřeba
ještě z jiného důvodu. Viz 7.2.1.)
Jestli budu někdy chtít někoho mučit, tak ho přinutím naprogramovat
validující resolver pro DNSSEC. :)
--
Pavel Kankovsky aka Peak "Que sais-je?"
Další informace o konferenci Linux