Tham gia Đăng nhập
Điểm:0
Tenders McChiken avatar Server

Điều gì xảy ra nếu trình phân giải gặp thuật toán DNSSEC mà nó không hỗ trợ?

lá cờ eg
Tenders McChiken

Nó từ chối trả lại bản ghi được yêu cầu hay nó trả lại bản ghi, coi miền là không an toàn?

77
0 + 0
Điểm:1
Patrick Mevzek avatar Server
lá cờ cn
Patrick Mevzek

Điều gì xảy ra nếu trình phân giải gặp thuật toán DNSSEC mà nó không hỗ trợ?

DNSSEC được xây dựng để cho phép xác thực miễn là tồn tại MỘT đường dẫn xác thực. Nếu trình phân giải có thể tìm ra ít nhất một thuật toán mà nó hỗ trợ và kiểm tra xem mọi thứ (chữ ký, v.v.) có ổn không, thì quá trình xác thực DNSSEC sẽ ổn và thuật toán không xác định sẽ bị bỏ qua.

Tất nhiên, nếu trình phân giải chỉ tìm thấy các thuật toán mà nó không hỗ trợ và thậm chí không hỗ trợ thuật toán nào, thì quá trình xác thực DNSSEC sẽ không thành công và KHÔNG PHỤC VỤ sẽ được trả lại.

Nhìn thấy §5.3.1 của RFC 4035:

Có thể có nhiều hơn một bản ghi tài nguyên DNSKEY phù hợp với các điều kiện ở trên. Trong trường hợp này, trình xác thực không thể xác định trước DNSKEY nào RR sử dụng để xác thực chữ ký và nó PHẢI thử từng khớp bản ghi tài nguyên DNSKEY cho đến khi chữ ký được xác thực hoặc trình xác thực đã hết khóa công khai phù hợp để thử.

Vì vậy, một thuật toán tốt là đủ, trình giải quyết không phải kiểm tra tất cả chúng. Thật tốt khi có thể giới thiệu các thuật toán mới dần dần ở phía xuất bản, trong khi các trình giải quyết được cập nhật để biết về thuật toán mới.

Có một cái nhìn cũng tại RFC 8626 "Yêu cầu triển khai thuật toán và hướng dẫn sử dụng cho DNSSEC".

Nó từ chối trả lại bản ghi được yêu cầu hay nó trả lại bản ghi, coi tên miền là không an toàn?

DNSSEC bình thường ở dạng nhị phân: miền có xác thực DNSSEC chính xác hoặc đang bị lỗi (do đó KHÔNG PHỤC VỤ).Trình phân giải không được phép loại bỏ DNSSEC khỏi miền nếu nó không thành công và trả về các bản ghi như thể miền đó không có DNSSEC ngay từ đầu.

Tuy nhiên, đó là lý thuyết. Trong thực tế, đôi khi trình phân giải đệ quy cần tiếp tục trả lời ngay cả đối với các miền đã biết là DNSSEC bị hỏng vì người ta cho rằng nó sẽ tạo ra một lỗi quá lớn. Xem ví dụ nổi tiếng trước đây của NASA/Comcast. Đó là lý do tại sao hiện nay có "Neo tin cậy tiêu cực" hoặc NTA: đây là cách để người vận hành trình phân giải đệ quy nói rằng "miền X bị hỏng DNSSEC, bỏ qua lỗi tin cậy ở đó và hoạt động như thể không có DNSSEC". Nó được coi là một biện pháp tạm thời và rõ ràng là cục bộ đối với từng trình giải quyết đệ quy.

Nhìn thấy RFC 7646 "Định nghĩa và sử dụng neo tin cậy phủ định DNSSEC" (tháng 9 năm 2015):

Tài liệu này định nghĩa Phủ định Điểm neo tin cậy (NTA), có thể được sử dụng để giảm thiểu xác thực DNSSEC lỗi bằng cách vô hiệu hóa xác thực DNSSEC tại các miền được chỉ định.

0 + 0
Điểm:0
avatar Server
lá cờ td
bob

AFAIK trình phân giải xác thực nhận biết bảo mật phải đưa ra phản hồi lỗi. Vì vậy, mong đợi phản hồi lỗi SERVFAIL.

Khi được cập nhật để hỗ trợ tương đối gần đây RFC 8914 thậm chí sẽ có một chi tiết lỗi DNS mở rộng chẳng hạn:

 Mã lỗi DNS mở rộng 1 - Thuật toán DNSKEY không được hỗ trợ
 Mã lỗi DNS mở rộng 2 - Loại thông báo DS không được hỗ trợ
0 + 0
Patrick Mevzek avatar
lá cờ cn
Patrick Mevzek
Điều này là không đúng.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.