[caiu] DNS do google

Francisco Neto fjbvneto em gmail.com
Segunda Maio 13 00:38:38 BRT 2013


E justamente ai a questao:

Como ele faria a validação DNSSEC, se não há DS no parent ? Ate da zona
teletalk.net.br. eu tinha limpado o DS no registro.br... agora sim, eu
deixei as configurações na zona teletalk.net.br. (um erro) no servidor...
mais isto teria algum impacto ? Isolando a questão de eventual falha
aleatoria/catastrofica ou não previsivel... pensando no fluxograma da
recursão, ela não deveria passar pelo parent ? e como não tem DS, não
deveria 'morrer' ali, tipo : Este dominio não tem DNSSEC.

O pior , se fosse ter impacto seria uma morte geral (pela morte da zona
teletalk.net.br. O que tambem nao ocorreu.

E no caso da não existencia de falha de recursao sobre teletalk.net.br. ???
 Eu não observei falha para ela, a falha que observei foi para
teletalk.com.br. justamente a 'zona que esta em plena produção, com
aplicações e etc' 100% limpa   e sim, a zona teletalk.net.br. com a
configuração de dnskey na zona, mas sem o DS.

Como isto poderia ocorrer ?

Postei aqui neste topico, pois estava correlato(problema dns google) para
tentar inserir informações sobre o caso.




Em 13 de maio de 2013 00:23, Rubens Kuhl <rubensk at gmail.com> escreveu:

> 2013/5/13 Francisco Neto <fjbvneto at gmail.com>:
> > Sim, teletalk.com.br tem seus ns sob teletalk.net.br.
> >
> > Agora discordo, pois o impacto severo seria se a zona teletalk.net.br.
> > MORESSE !!!  Tipo, se esta falha de recursão afetasse a zona
> teletalk.net.br.
> > aponto dela morrer para a internet, ai mais algumas coisas iriam
> > acontecer... como a morte da declaração de reverso de 1 x /19 todinho...
> > alguns outros dominios...
> >
> > Ai todo o serviço de dns ia junto é simples.
>
> Para um recursivo que valida DNSSEC, o efeito é exatamente o mesmo.
> Não adianta você concordar comigo ou não, as RFCs discordando de você
> é que matam seu serviço, mas apenas para recursivos validando DNSSEC.
> Falha de recursão é morte da zona é a mesma coisa para alguém que está
> validando os resultados.
>
>
> > Vou corrgir a falha agora mesmo de teletalk.net.br. esta correto a
> > afirmação da falha em teletalk.net.br. e no mínimo, é feio.
> >
> > Mas isto não explica o problema em teletalk.com.br.
>
> Acredite no que preferir...
>
> > Mas o fato da falha de recursão não ter afetado teletalk.net.br. e
> APENAS
> > teletalk.com.br. que esta totalmente limpo e conforme, é notável.
>
> Os casos citados exploram corner-cases como ter DNSKEY sem DS, então
> não há mesmo garantia de respostas previsíveis.
>
> >Outro detalhe, mesmo com os registros configurados na zona... no servidor,
> >eles só não seriam consultados/lidos , após a verificação do DS no parent
> ?
>
> Não há verificação de DS no parent. A informação de DS do parent é que
> é lembrada para validar contratar a DNSKEY quando ela vem do
> autoritativo da zona. Não há verificação com um único parâmetro, é
> preciso comparar dois.
>
>
> Rubens
> _______________________________________________
> caiu mailing list
> caiu at eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>


More information about the caiu mailing list