Техническое: Google Public DNS и DNSSEC
Интересно, что Google Public DNS (8.8.8.8) при взаимодействии с зоной dnssec.pw, которую я на днях снабдил ключами с одинаковыми тегами, продолжает возвращать неконсистентные результаты, если спрашивать об отсутствующих в зоне записях. Например, при запросе TXT-записей в dnssec.pw теперь нередко приходят ответы со статусом SERVFAIL, “RRSIG with malformed signature…” – написано в пояснении. Однако есть и ответы со статусом NOERROR (примерно, половина, как ни странно), где, впрочем, пояснение тоже указывает на “RRSIG with malformed signature…”.
Возможно, конечно, что в данном сервисе на разных экземплярах узлов разное программное обеспечение, но есть и другое, несколько более занятное, объяснение: может так быть, что сервис ограничивает количество попыток проверки подписи для каждой итерации. В зоне четыре ключа ZSK, подпись RRSIG на NSEC – одна, на SOA – две. Соответственно, если у резолвера установлено некоторое предельное количество ошибок проверки подписи, то, когда предел достигнут, резолвер прекращает попытки перебора ключей и возвращает SERVFAIL. Если же ключ удалось угадать за меньшее количество попыток, то возвращается NOERROR. Подсчёт строк с сообщениями “RRSIG with malformed signature” в ответах – укладывается в эту гипотезу, но чтобы судить точнее – нужно собрать дополнительную статистику.
Адрес записки: https://dxdt.ru/2024/02/05/12303/
Похожие записки:
- Представления о квантах и радиостанции
- Бывшая "Яндекс.Почта"
- Уровни сигнатур клиентских подключений
- Трижды Spectre в процессорах
- CVE-2024-3094 про бэкдор в liblzma и теория ИБ
- Новость про постквантовые криптосистемы в вебе
- Автомобили, "подключенные" для сбора данных
- Chrome и проверка веб-страниц в браузере
- Централизованные мессенджеры и многообразие мест хранения сообщений
- Такси-роботы едут кругами
- Мессенджер и удаление сообщений
Написать комментарий