[caiu] portal.mte.gov.br [DNSSEC expirado?]
Rubens Kuhl
rubensk em gmail.com
Seg Jan 2 15:53:01 BRST 2017
Yeap, mte.gov.br está com assinatura expirada.
dsrecord: 12511 RSASHA1 35D14603FECD515384318F25849821D6B617EA53
dsstatus: 20170102 EXPSIG
dslastok: 20161231
dsrecord: 12511 RSASHA1
AD2CA00A68B5528FF1D233C2099263B3F0B5A98C1F850E7C46F65F930AFCDB6C
dsstatus: 20170102 EXPSIG
dslastok: 20161231
E no caso específico de portal.mte.gov.br, que é um CNAME para
portal.trabalho.gov.br, há um outro problema pq os servidores DNS de
trabalho.gov.br são todos de mte.gov.br.
http://dnsviz.net/d/portal.mte.gov.br/dnssec/
Você poderia colocar negative trust anchor só para os domínios mte.gov.br e
trabalho.gov.br.
Rubens
On Mon, Jan 2, 2017 at 1:45 PM, BinaryCrash <binarycrash em gmail.com> wrote:
> Pessoal,
>
> Vocês estão com indisponibilidade em domínios mte.gov.br ?
>
> Parece que o DNSSEC não está validando, por ter expirado.
>
> ;; ANSWER SECTION:
> portal.mte.gov.br. 42687 IN CNAME portal.trabalho.gov.br.
> portal.mte.gov.br. 42687 IN RRSIG CNAME 5 4 43200 20161231235959 (
> 20161229171119 44310 mte.gov.br.
> Mk4xhU85Je2PVVTiSV7y/
> 7bfep1QlKoVrL+YdxBDvw8o
> 9HBzdiLfX2W/jwyWP7SHwhxDnU0eEXPD7shDPs5Yfn
> jT
> JAa3Uux9a+aN4WQchQ8xck9UgdxLaMn/
> krKFimMPsTU4
> YV9nLDX8IyObURON0MkyMvfiqPWgaw0L5KRsmwo= )
> portal.trabalho.gov.br. 900 IN RRSIG NSEC 5 4 900 20161231235959 (
> 20161229170634 23106 trabalho.gov.br.
> Y+ZLu4Uhe1lDUHLjcmBbXe6bSa8e/+
> BKgjEEky4LKlhJ
> 0KAQ9Y0Z6RDTd34yOeZ6ttadAc8hWA
> M08/N6G9BFKqH9
> +GwHZZr7IAqMbGyDASHY7qakuUlizZB
> xYVyfS2p9adUw
> lfgQ8Nt97PpS0egK0i32CF2/EMGmFpfsnFWK5q0= )
> portal.trabalho.gov.br. 43200 IN RRSIG A 5 4 43200 20161231235959 (
> 20161229170634 23106 trabalho.gov.br.
> mwCd0eGMQtuz6v01EVh1AiUn8e50Ny
> FDw1FaCWa8M88m
> Jfv0fCXUo/4fruc3FelGqt854qsou/
> 1Zi9Os7zDGoChZ
> rLHS5jbHvgQ8/5SCkm9kNm/
> XSTNs5fftBU2+/BTfK+FY
> N/bR+UvCgeio4JQm1R9ououZgwNzbCEyuhxuIMI= )
>
> ;; AUTHORITY SECTION:
> trabalho.gov.br. 43200 IN NS ns3.mte.gov.br.
> trabalho.gov.br. 43200 IN NS ns4.mte.gov.br.
> trabalho.gov.br. 43200 IN NS ns2.mte.gov.br.
> trabalho.gov.br. 43200 IN NS ns1.mte.gov.br.
> trabalho.gov.br. 43200 IN RRSIG NS 5 3 43200 20161231235959 (
> 20161229170634 23106 trabalho.gov.br.
> K3xNJ8A/3n9ho1AOSp6rK2Ev0LoHLJNZA30riQ
> 5Qzzeo
> LFirg6zYkABEF/
> x0CBNYuTfAVXM9yedWppsqZv+ycLMg
> FptPoLV/o+3SAkeeeX2mz8AGlZPJvcu6ML+
> lixGPsExw
> 7boopHvkgCdBc/EiNaR5c0eWF5tVk2bX5/pCMSI= )
>
>
> Virou o ano e expirou?
>
> Melhor solução seria ignorar o DNSSEC para os domínios gov.br até
> resolverem?
>
> No caso aqui uso unbound, mas nem o 8.8.8.8 está resolvendo.
>
> # dig @8.8.8.8 portal.mte.gov.br
>
> ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.47.rc1.el6_8.2 <<>> @8.8.8.8
> portal.mte.gov.br
> ; (1 server found)
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 20858
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
>
> ;; QUESTION SECTION:
> ;portal.mte.gov.br. IN A
>
> ;; Query time: 67 msec
> ;; SERVER: 8.8.8.8#53(8.8.8.8)
> ;; WHEN: Mon Jan 2 13:44:20 2017
> ;; MSG SIZE rcvd: 35
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
Mais detalhes sobre a lista de discussão caiu