Техническое: Google Public DNS и DNSSEC
Интересно, что Google Public DNS (8.8.8.8) при взаимодействии с зоной dnssec.pw, которую я на днях снабдил ключами с одинаковыми тегами, продолжает возвращать неконсистентные результаты, если спрашивать об отсутствующих в зоне записях. Например, при запросе TXT-записей в dnssec.pw теперь нередко приходят ответы со статусом SERVFAIL, “RRSIG with malformed signature…” – написано в пояснении. Однако есть и ответы со статусом NOERROR (примерно, половина, как ни странно), где, впрочем, пояснение тоже указывает на “RRSIG with malformed signature…”.
Возможно, конечно, что в данном сервисе на разных экземплярах узлов разное программное обеспечение, но есть и другое, несколько более занятное, объяснение: может так быть, что сервис ограничивает количество попыток проверки подписи для каждой итерации. В зоне четыре ключа ZSK, подпись RRSIG на NSEC – одна, на SOA – две. Соответственно, если у резолвера установлено некоторое предельное количество ошибок проверки подписи, то, когда предел достигнут, резолвер прекращает попытки перебора ключей и возвращает SERVFAIL. Если же ключ удалось угадать за меньшее количество попыток, то возвращается NOERROR. Подсчёт строк с сообщениями “RRSIG with malformed signature” в ответах – укладывается в эту гипотезу, но чтобы судить точнее – нужно собрать дополнительную статистику.
Адрес записки: https://dxdt.ru/2024/02/05/12303/
Похожие записки:
- Экспериментальный сервер TLS 1.3: замена сертификатов
- Реплика: знание секретных ключей и криптографические операции
- TOR и анализ трафика в новостях
- CVE-2024-3094 про бэкдор в liblzma и теория ИБ
- Техническое: certbot, проскользнувший мимо веб-сервера
- Неверная интерпретация систем ИИ как "инструмента для анализа"
- DNS-over-TLS на авторитативных серверах DNS
- Один сценарий интернет-измерений и поле SNI HTTPS/TLS
- Стандарты NIST для "постквантовых" криптосистем
- "Яндекс.Браузер" и российские сертификаты TLS в вебе
- ИИ Google и олимпиадные задачи
Написать комментарий