[caiu] DNS do google

Rubens Kuhl rubensk em gmail.com
Domingo Maio 12 23:08:35 BRT 2013


> Pena que eu não guardei uma saida nslookup -debug teletalk.com.br que

Um detalhe que pode ou não estar relacionado é que teletalk.com.br tem
servidores DNS em teletalk.net.br, que ainda dá resultado com problema
no DNSViz atualizado domingo 12/05 23h:
http://dnsviz.net/d/teletalk.net.br/dnssec/

E nele dá para notar que apesar o DS ter sido retirado, DNSKEY não
foi. É um corner-case bem curioso não ter DS ou DNSKEY no parent mas
ter na própria zona, e que precisa de uma boa pesquisa de SHOULD/MUST
nas RFCs de DNSSEC para entender como um recursivo deveria tratar esse
caso. Porém, aplicação simples do princípio de Postel diz que você não
deveria mais ter DNSKEY nas zonas que não tem mais DS no parent, e que
os próprios RRs das zonas nem deveriam ter mais assinaturas, mas é
isso que ainda acontece:

dig +short +dnssec zeta.teletalk.net.br @8.8.8.8

177.21.0.35

A 5 4 300 20130521230647 20130421230647 55401 teletalk.net.br.
NsqFDV8dsji5Rn6pJ8JQwLF/ZSZimoo0nAZcs75YkahvDlPktyZX/+ad
3s19zKK1299ywPnMoGz2qkGZNi/VeUoGhC39XvupN+ZzobHt+pwp9Hdp
el5WKPqDjpYwvGQwaKCraMoMITuaz/fKf4cMoVAjriFX4G+S0l2Ob2By
Ii3Ewan2T53VvSEV16CAGg77rra/2ozum2ECJZ4SLwvj5Q==

$ dig +short +dnssec iota.teletalk.net.br @8.8.8.8

177.21.0.34

A 5 4 300 20130521230647 20130421230647 55401 teletalk.net.br.
MjkA4qKdQLA3P+f43YAJZ9oOMbIxl32yhkA6Ie69JfHTWpqyo8ngEn1Z
S7J6PIPIW3gVow4dJ8VKqsw1vCorD6KMAJy0j7BBSpYgtaGc9nfHHaeN
D9X5V0LHd9Wrg6qy8gwyaVu6rDWLG1x73l3sE53FSEKQChJazejJcAjk
14Xng5YVQJWHQw0OYmvTzxb8DeCkYp0Ts29aRkQkG0UOqw==


Que tal remover o DNSKEY e assinaturas dos RRs do .com.br e do
.net.br, antes que você tenha que descobrir mais sobre as RFCs do
DNSSEC do que talvez quisesse saber ?


Rubens


More information about the caiu mailing list