DNSSEC: A/wildcard versus NSEC3

Pavel Kankovsky peak na argo.troja.mff.cuni.cz
Středa Září 9 22:41:42 CEST 2015


On Wed, 9 Sep 2015, Jan Kasprzak wrote:

> 	Ono je to ale cele divne, ne? Protoze takhle muze utocnik-in-the-middle
> vzit odpoved nameserveru, vyhodit z ni informaci ze "www.domena.cz"
> je vlastne instance wildcardu "*.domena.cz", a poslat mi NXDOMAIN
> s tim NSEC3 v dodatecne sekci, ktery mi "duveryhodnym" zpusobem popre,
> ze by "www.domena.cz" existovalo. Ta odpoved neni podepsana jako celek
> - podepsany je ten wildcard zvlast a NSEC3 taky zvlast. Fakt je takovyto
> zadani problem v navrhu DNSSECu?

Finta je v tom, že samotný NSEC/NSEC3 pro dotazované jméno nestačí. Je 
potřeba ještě záznam dokazující, že neexistuje ani ten wildcard. Dobře je 
to vidět na nic.cz, kde mají staré NSEC-y, a tak jsou tam všude čitelná 
jména. Když se zeptám na qqqq.nic.cz, tak dostanu dvě negativní odpovědi:

nic.cz.                 IN      NSEC    6to4.nic.cz. A NS SOA MX AAAA RRSIG NSEC DNSKEY
public-r-02.nic.cz.     IN      NSEC    quido-b-01.nic.cz. A AAAA RRSIG NSEC

Ta druhá dokazuje, že neexistuje přímo qqqq.nic.cz. Ale ještě je potřeba 
ta první, která popírá existenci wildcardu. Viz RFC 5155, 7.2.2. Name 
Error Responses. (Tedy přesněji řečeno je ta první odpověď vlastně potřeba 
ještě z jiného důvodu. Viz 7.2.1.)

Jestli budu někdy chtít někoho mučit, tak ho přinutím naprogramovat 
validující resolver pro DNSSEC. :)

-- 
Pavel Kankovsky aka Peak                      "Que sais-je?"


Další informace o konferenci Linux