DNS Un record con https: // nell'etichetta


19

Recentemente ho incontrato per la prima volta un record A del modulo:

https://www.example.com.    <TTL>   IN  A   <IP address>

Per quanto ne so, questo record è intenzionale (cioè non un errore). So che i due punti e la barra sono caratteri validi per un'etichetta, secondo RFC 2181 , ma non capisco lo scopo del disco. Alcune autorità di certificazione utilizzano questo modulo per la convalida del controllo del dominio? Questo modulo protegge da un qualche tipo di exploit? Intrappolare qualche tipo di errore dell'utente o problema noto con il software?


1
L'indirizzo IP è diverso da quello per il corrispondente www.example.com? Cosa ti fa pensare che questo sia intenzionale e non un errore?
jcaron,

Il motivo per cui sospetto che questo record non sia stato configurato in modo errato è perché l'organizzazione che controlla questi record è una grande azienda con una grande presenza online, i cui record DNS mi aspetterei di essere oggetto di un attento esame. Ma sono pienamente in grado di credere che questi record A siano un errore. Analizzerò ulteriormente (nessun gioco di parole) in questo problema e pubblicherò un aggiornamento se determinerò il motivo dei record.
Binky,

Se qualcuno ha un account DNSDB Farsight o un servizio simile e desidera interrogare l'intero spazio DNS per altri record A con "https: //", sarebbe davvero fantastico. :)
Binky,

La mappatura dell'indirizzo IP del record A per https://www.example.comè diversa dalla mappatura dell'indirizzo IP per www.example.com. Il primo mappa gli indirizzi (più record A) nel netblock / 16 di proprietà di "esempio.com" per whois ARIN. Quest'ultimo è associato a un CNAME nel dominio di un importante provider di CDN. La catena CNAME alla fine si associa a un indirizzo IP nella rete del provider CDN
Binky,

@Binky: non è una buona ragione per sospettare che non sia configurato male. L'incompetenza nelle grandi società è estremamente comune.
R ..

Risposte:


51

La spiegazione più probabile è che un utente che non ha familiarità con DNS abbia tentato di configurare i record DNS e abbia commesso un errore evidentemente evidente per chiunque abbia familiarità con DNS, ma non per le persone che non lo sono.

Mentre un'etichetta DNS può essere qualsiasi dato binario arbitrario in generale , dovresti leggere il resto della sezione 11, in particolare:

Si noti tuttavia che le varie applicazioni che utilizzano i dati DNS possono avere restrizioni imposte su quali valori particolari sono accettabili nel loro ambiente. Ad esempio, qualsiasi etichetta binaria può avere un record MX non implica che un nome binario possa essere usato come parte host di un indirizzo e-mail. I clienti del DNS possono imporre qualsiasi restrizione appropriata alle loro circostanze sui valori che usano come chiavi per le richieste di ricerca DNS e sui valori restituiti dal DNS. Se il cliente ha tali restrizioni, è l'unico responsabile della convalida dei dati dal DNS per assicurarsi che sia conforme prima di utilizzare tali dati.

Tra le altre cose, ciò significa che la sintassi dell'etichetta può essere limitata a seconda del tipo di RR. Come specificato in RFC 1123 sezione 2.1 e RFC 952, i nomi host Internet hanno una sintassi così limitata, in cui i due punti e la barra non sono validi.


1

È errato per un indirizzo standard ma è probabilmente qualcuno che utilizza DNS come dispositivo di comunicazione fuori banda.

Non è difficile immaginare di dover passare i dati tramite DNS anziché tramite canali "normali".


1
Potresti andare avanti e immaginare per noi? Poiché questa risposta non dice davvero cosa potrebbe accadere, solo che il rispondente pensa che sia logico.
Saiboogu,

1
è probabilmente qualcuno che utilizza DNS come dispositivo di comunicazione fuori banda. @ djsmiley2k Non ho menzionato questa possibilità nel mio post originale perché l'organizzazione che controlla questi record A è una società con requisiti di sicurezza / conformità sostanziali. Per questi record essere un meccanismo di accesso fuori banda sarebbe altamente improbabile, e se i record fossero un hack OOB, le ripercussioni sarebbero ... spaventose.
Binky,

@Blinky è abbastanza giusto, è improbabile in questo caso, ma è una possibilità in altri.
djsmiley2k - CoW,

Questa è certamente una cosa possibile, ma i canali laterali DNS vengono normalmente eseguiti con testo in un record TXT e non nel nome host stesso. Inoltre "https: //" sembra un errore, non un testo cifrato.
Criggie,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.