[caiu] DNS do google

[Rubens Kuhl]

2013/5/13 Francisco Neto <fjbvneto at gmail.com>:
> Sim, teletalk.com.br tem seus ns sob teletalk.net.br.
>
> Agora discordo, pois o impacto severo seria se a zona teletalk.net.br.
> MORESSE !!!  Tipo, se esta falha de recursão afetasse a zona teletalk.net.br.
> aponto dela morrer para a internet, ai mais algumas coisas iriam
> acontecer... como a morte da declaração de reverso de 1 x /19 todinho...
> alguns outros dominios...
>
> Ai todo o serviço de dns ia junto é simples.

Para um recursivo que valida DNSSEC, o efeito é exatamente o mesmo.
Não adianta você concordar comigo ou não, as RFCs discordando de você
é que matam seu serviço, mas apenas para recursivos validando DNSSEC.
Falha de recursão é morte da zona é a mesma coisa para alguém que está
validando os resultados.


> Vou corrgir a falha agora mesmo de teletalk.net.br. esta correto a
> afirmação da falha em teletalk.net.br. e no mínimo, é feio.
>
> Mas isto não explica o problema em teletalk.com.br.

Acredite no que preferir...

> Mas o fato da falha de recursão não ter afetado teletalk.net.br. e APENAS
> teletalk.com.br. que esta totalmente limpo e conforme, é notável.

Os casos citados exploram corner-cases como ter DNSKEY sem DS, então
não há mesmo garantia de respostas previsíveis.

>Outro detalhe, mesmo com os registros configurados na zona... no servidor,
>eles só não seriam consultados/lidos , após a verificação do DS no parent ?

Não há verificação de DS no parent. A informação de DS do parent é que
é lembrada para validar contratar a DNSKEY quando ela vem do
autoritativo da zona. Não há verificação com um único parâmetro, é
preciso comparar dois.


Rubens