[GTER] DNSSEC + .gov
Herbert Faleiros
herbert at scw.net.br
Mon May 18 18:21:12 -03 2009
Notei hoje um domínio .gov nos meus servidores recursivos (executando o Bind)
com DNSSEC habilitado estava retornando as consultas com erro aqui (não
retorna nada, nem aponta p/ onde não devia), depois de uma olhada nos meu logs
notei o seguinte (Biblioteca do Congresso):
lame-servers: info: no valid DS resolving 'www.loc.gov/A/IN': 140.147.2.12#53
lame-servers: info: no valid DS resolving 'loc.gov/A/IN': 140.147.237.17#53
e com o debug 3 no DNSSEC:
validating @0xb4d09010: www.loc.gov A: starting
validating @0xb4d09010: www.loc.gov A: looking for DLV
validating @0xb4d09010: www.loc.gov A: plain DNSSEC returns unsecure (.):
looking for DLV
validating @0xb4d09010: www.loc.gov A: looking for DLV www.loc.gov.dlv.isc.org
validating @0xb4d09010: www.loc.gov A: DNS_R_COVERINGNSEC
validating @0xb4d09010: www.loc.gov A: covering nsec found:
'www.loc.gov.dlv.isc.org' 'gov.dlv.isc.org' 'radioland.gr.dlv.isc.org'
validating @0xb4d09010: www.loc.gov A: looking for DLV loc.gov.dlv.isc.org
validating @0xb4d09010: www.loc.gov A: DNS_R_COVERINGNSEC
validating @0xb4d09010: www.loc.gov A: covering nsec found:
'loc.gov.dlv.isc.org' 'gov.dlv.isc.org' 'radioland.gr.dlv.isc.org'
validating @0xb4d09010: www.loc.gov A: looking for DLV gov.dlv.isc.org
validating @0xb4d09010: www.loc.gov A: DLV gov found
validating @0xb4d09010: www.loc.gov A: dlv_validator_start
validating @0xb4d09010: www.loc.gov A: restarting using DLV
validating @0xb4d09010: www.loc.gov A: attempting insecurity proof
validating @0xb4d09010: www.loc.gov A: checking existence of DS at 'loc.gov'
validating @0x839f1c0: loc.gov DS: starting
validating @0x839f1c0: loc.gov DS: attempting negative response validation
validating @0x839f1c0: loc.gov DS: in authvalidated
validating @0x839f1c0: loc.gov DS: authvalidated: got no valid RRSIG
validating @0x839f1c0: loc.gov DS: resuming nsecvalidate
validating @0xb4d09010: www.loc.gov A: dns_validator_cancel
validating @0xb4d09010: www.loc.gov A: in dsfetched2: operation canceled
validating @0x839f1c0: loc.gov DS: dns_validator_cancel
validating @0x839f1c0: loc.gov DS: in authvalidated
O mais estranho é esse radioland.gr no meio (envenenamento? como? Aqui uso a
versão _atualizada_ do Bind disponibilizada no Slackware 12.2).
Eu desabilitei o DNSSEC é voltou a funcionar (apontando p/ o site
corretamente), por via das dúvidas eu até bloqueei o /16 desse registro que
vem da Grécia (se fosse envenenamento abriria algo apontando p/ um local
falso, correto?).
# host -t A www.loc.gov
www.loc.gov is an alias for rs7.loc.gov.
rs7.loc.gov has address 140.147.249.7
# whois 140.147.249.7
OrgName: Library of Congress, Information Technology Services
OrgID: LCITS
Address: 101 Independence Avenue, SE
City: Washington
StateProv: DC
PostalCode: 20540
Country: US
[cut]
Alguém tem alguma dica de onde está o problema? (aqui, com o DNSSEC ou lá)
--
Herbert
More information about the gter
mailing list