[caiu] DNS do google

Rubens Kuhl rubensk em gmail.com
Segunda Maio 13 00:46:28 BRT 2013 

2013/5/13 Francisco Neto <fjbvneto at gmail.com>:
> E justamente ai a questao:
>
> Como ele faria a validação DNSSEC, se não há DS no parent ? Ate da zona
> teletalk.net.br. eu tinha limpado o DS no registro.br... agora sim, eu
> deixei as configurações na zona teletalk.net.br. (um erro) no servidor...
> mais isto teria algum impacto ? Isolando a questão de eventual falha
> aleatoria/catastrofica ou não previsivel... pensando no fluxograma da
> recursão, ela não deveria passar pelo parent ? e como não tem DS, não
> deveria 'morrer' ali, tipo : Este dominio não tem DNSSEC.

Não. Sem DS um recursivo poderia interpretar qualquer informação de
DNSKEY vinda de um servidor autoritativo como válida.
E no seu caso me parece que havia um DNSKEY que depois não batia com
as assinaturas (ou falta delas), ou seja, mesmo sem DS seu servidor
podia estar garantindo que as outras respostas fossem ignoradas.



> O pior , se fosse ter impacto seria uma morte geral (pela morte da zona
> teletalk.net.br. O que tambem nao ocorreu.

Você sempre coloca em absolutos, mas a validação DNSSEC é sempre
aplicada a RRsets (ou seja, a conjunto de entradas, como o apex ou
xxxx.example.com.br). Claro que se os componentes forem todos os
mesmos o resultado deveria ser o mesmo, mas há modos de falha que essa
simplificação de raciocínio pode não estar enxergando.

> E no caso da não existencia de falha de recursao sobre teletalk.net.br. ???
>  Eu não observei falha para ela, a falha que observei foi para
> teletalk.com.br. justamente a 'zona que esta em plena produção, com
> aplicações e etc' 100% limpa   e sim, a zona teletalk.net.br. com a
> configuração de dnskey na zona, mas sem o DS.
>
> Como isto poderia ocorrer ?
>
> Postei aqui neste topico, pois estava correlato(problema dns google) para
> tentar inserir informações sobre o caso.

Eu acho que este tópico já esgotou sua utilidade para a comunidade, e
esta foi minha última contribuição nele. Me parece que agora você
precisa buscar paz com seus inner daemons, tanto no sentido
computacional quanto no mais holístico.


Rubens

More information about the caiu mailing list