[caiu] DNS do google

Francisco Neto fjbvneto em gmail.com
Segunda Maio 13 00:00:55 BRT 2013


Pode ou não estar relacionado ?

Outra coisa engraçada e curiosa:

- A falha eu não observei para teletalk.net.br !!!

Veja que, na zona teletalk.com.br (principal) eu removi, no momento que
removi o DS, conforme. Não sei se pelos sistemas no registro voce
consegueria ver, se sim, favor olhar por favor, mas veja que, NO MOMENTO
QUE EU REMOVI A DS (O QUE ANULA O PARENT) EU TAMBÉM, APÓS SALVAR, INCLUSIVE
DESLOGAR E LOGAR NOVAMENTE no portal para checar a remoção da DS, fui no
meu servidor para 'limpar'.

Sim, fui aplicar o principio kiss... pois o foco era teletalk.com.br.

Negativo de novo meu amigo, em teletalk.com.br. não tem, desde a remoção de
DS como falei supra... Agora no .net.br ainda tem sim... fato ! este
dominio eu considero secundário.

Inclusive como falei, ao remover o DS no registro, e as entradas DNSKEY do
teletalk.com.br eu relodei a zona e restartei o daemon do bind...  A
operação em teletalk.com.br. foi feita.

teletalk.net.br é uma espécie de 'dominio técnico' em nosso backbone, que
realmente eu soneguei a importancia (falha) de remover o dnskey e as
assinaturas dos rr´s ... dele, farei é claro...  Mas isto não esta
correlato com a falha reportada !

Mas, o pior e mais engraçado e curioso, É QUE ELE NÃO TEVE ESTA FALHA !!!
Lembro de, ter consultado outras zonas, inclusive esta, e lembro que ter
recursão...

A falha foi só sobre teletalk.com.br. E somente via 8.8.8.8 e 8.8.4.4 . Os
registros de teletalk.com.br. estão limpos e conforme desde que removi a DS
no registro.br. Justamente para não ficar sem DS e com 'configuração de
DNSSEC' na zona, fui no registro, limpei o DS, salvei. Fui no meu servidor,
limpei, salvei, dei reload na zona e restart no bind.

Como vou remover algo que não existe ???

Voce consultou a zona teletalk.com.br. ??? Ela é foco, ela esta limpa !

Sim, concordo, a zona teletalk.net.br será limpa sim, esta foi falha minha,
mas, inclusive... ela não foi foco e o pior, não apresentou problemas !!!
Isto é que é estranho, teletalk.net.br. não apresentou o problema que
teletalk.com.br. apresentou ! Vou limpar-la !



Em 12 de maio de 2013 23:08, Rubens Kuhl <rubensk at gmail.com> escreveu:

> > Pena que eu não guardei uma saida nslookup -debug teletalk.com.br que
>
> Um detalhe que pode ou não estar relacionado é que teletalk.com.br tem
> servidores DNS em teletalk.net.br, que ainda dá resultado com problema
> no DNSViz atualizado domingo 12/05 23h:
> http://dnsviz.net/d/teletalk.net.br/dnssec/
>
> E nele dá para notar que apesar o DS ter sido retirado, DNSKEY não
> foi. É um corner-case bem curioso não ter DS ou DNSKEY no parent mas
> ter na própria zona, e que precisa de uma boa pesquisa de SHOULD/MUST
> nas RFCs de DNSSEC para entender como um recursivo deveria tratar esse
> caso. Porém, aplicação simples do princípio de Postel diz que você não
> deveria mais ter DNSKEY nas zonas que não tem mais DS no parent, e que
> os próprios RRs das zonas nem deveriam ter mais assinaturas, mas é
> isso que ainda acontece:
>
> dig +short +dnssec zeta.teletalk.net.br @8.8.8.8
>
> 177.21.0.35
>
> A 5 4 300 20130521230647 20130421230647 55401 teletalk.net.br.
> NsqFDV8dsji5Rn6pJ8JQwLF/ZSZimoo0nAZcs75YkahvDlPktyZX/+ad
> 3s19zKK1299ywPnMoGz2qkGZNi/VeUoGhC39XvupN+ZzobHt+pwp9Hdp
> el5WKPqDjpYwvGQwaKCraMoMITuaz/fKf4cMoVAjriFX4G+S0l2Ob2By
> Ii3Ewan2T53VvSEV16CAGg77rra/2ozum2ECJZ4SLwvj5Q==
>
> $ dig +short +dnssec iota.teletalk.net.br @8.8.8.8
>
> 177.21.0.34
>
> A 5 4 300 20130521230647 20130421230647 55401 teletalk.net.br.
> MjkA4qKdQLA3P+f43YAJZ9oOMbIxl32yhkA6Ie69JfHTWpqyo8ngEn1Z
> S7J6PIPIW3gVow4dJ8VKqsw1vCorD6KMAJy0j7BBSpYgtaGc9nfHHaeN
> D9X5V0LHd9Wrg6qy8gwyaVu6rDWLG1x73l3sE53FSEKQChJazejJcAjk
> 14Xng5YVQJWHQw0OYmvTzxb8DeCkYp0Ts29aRkQkG0UOqw==
>
>
> Que tal remover o DNSKEY e assinaturas dos RRs do .com.br e do
> .net.br, antes que você tenha que descobrir mais sobre as RFCs do
> DNSSEC do que talvez quisesse saber ?
>
>
> Rubens
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


More information about the caiu mailing list