DNS Rekord z etykietą https: //

19

Niedawno po raz pierwszy spotkałem się z zapisem formularza A:

https://www.example.com.    <TTL>   IN  A   <IP address>

O ile mi wiadomo, ten zapis jest celowy (tj. Nie jest błędem). Wiem, że dwukropek i ukośnik są prawidłowymi znakami dla etykiety, zgodnie z RFC 2181 , ale nie rozumiem celu tego rekordu. Czy niektóre urzędy certyfikacji używają tego formularza do weryfikacji kontroli domeny? Czy ta forma chroni przed jakimś rodzajem wykorzystania? Pułapka na jakiś błąd użytkownika lub znany problem z oprogramowaniem?

domain-name-system a-record Binky
źródło
1
Czy adres IP różni się od adresu dla pasującego www.example.com? Co sprawia, że ​​uważasz, że jest to celowe, a nie błąd?
jcaron
Powodem, dla którego podejrzewam, że rekord A nie jest źle skonfigurowany, jest to, że organizacja kontrolująca te rekordy jest dużą korporacją o dużej obecności online, której rejestrów DNS spodziewałbym się pod znaczną kontrolą. Ale jestem w pełni przekonany, że te zapisy A są błędem. Będę dalej kopać (bez zamierzonej gry słów) do tego problemu i opublikuję aktualizację, jeśli ustalę przyczynę zapisów.
Binky
Jeśli ktoś ma konto Farsight DNSDB lub podobną usługę i chciałby zapytać o pełną przestrzeń DNS w poszukiwaniu innych rekordów A posiadających „https: //”, to byłoby naprawdę fajne. :)
Binky
Mapowanie adresu IP rekordu A dla https://www.example.comróżni się od mapowania adresu IP dla www.example.com. Poprzednie mapy do adresów (wiele rekordów A) w / 16 bloku sieciowym będącym własnością „example.com” dla whois ARIN. Ten ostatni mapuje na CNAME w domenie głównego dostawcy CDN. Łańcuch CNAME ostatecznie mapuje na adres IP w sieci dostawcy CDN
Binky,
@Binky: To nie jest wystarczający powód, by podejrzewać, że nie jest źle skonfigurowany. Niekompetencja w dużych korporacjach jest niezwykle powszechna.
R ..

Odpowiedzi:

51

Najbardziej prawdopodobnym wyjaśnieniem jest to, że użytkownik nieznający systemu DNS próbował skonfigurować rekordy DNS i popełnił błąd, który jest rażąco oczywisty dla każdego, kto zna DNS, ale nie dla osób, które go nie znają.

Chociaż etykietą DNS mogą być ogólnie dowolne dane binarne , należy przeczytać resztę sekcji 11, w szczególności:

Należy jednak pamiętać, że różne aplikacje korzystające z danych DNS mogą mieć ograniczenia dotyczące określonych wartości dopuszczalnych w ich środowisku. Na przykład, że każda etykieta binarna może mieć rekord MX, nie oznacza, że ​​jakakolwiek nazwa binarna może być używana jako część hosta adresu e-mail. Klienci DNS mogą nakładać wszelkie ograniczenia odpowiednie dla ich okoliczności na wartości, których używają jako klucze do żądań wyszukiwania DNS, oraz na wartości zwracane przez DNS. Jeśli klient ma takie ograniczenia, ponosi wyłączną odpowiedzialność za sprawdzenie poprawności danych z DNS, aby upewnić się, że są one zgodne, zanim zacznie je wykorzystywać.

Oznacza to między innymi, że składnia etykiety może być ograniczona w zależności od typu RR. Jak określono w RFC 1123 sekcja 2.1 i RFC 952, nazwy hostów internetowych mają taką ograniczoną składnię, w której dwukropek i ukośnik są niepoprawne.

Michael Hampton
źródło
1

Jest to niewłaściwe dla standardowego adresu, ale prawdopodobnie ktoś używa DNS jako urządzenia komunikacyjnego poza pasmem.

Nietrudno wyobrazić sobie konieczność przesyłania danych przez DNS zamiast przez „normalne” kanały.

djsmiley2k - CoW
źródło
1
Czy możesz śmiało sobie wyobrazić? Ponieważ tak jest, ta odpowiedź tak naprawdę nie mówi, co może się dziać - tylko że odpowiadający uważa, że ​​jest to logiczne.
Saiboogu
1
to prawdopodobnie ktoś używa DNS jako urządzenia komunikacyjnego poza pasmem. @ djsmiley2k Nie wspominałem o tej możliwości w moim oryginalnym poście, ponieważ organizacja kontrolująca te rekordy A jest korporacją, która ma zasadnicze wymagania w zakresie bezpieczeństwa / zgodności. Gdyby te rekordy były poza pasmowym mechanizmem dostępu, byłoby wysoce mało prawdopodobne, a gdyby rekordy były hakowaniem OOB, następstwa byłyby ... przerażające.
Binky
@Blinky w porządku, w tym przypadku jest mało prawdopodobne, ale w innych jest taka możliwość.
djsmiley2k - CoW
Jest to z pewnością możliwa rzecz, ale kanały boczne DNS są zwykle wykonywane z tekstem w rekordzie TXT, a nie w samej nazwie hosta. Dodatkowo „https: //” wygląda jak błąd, a nie zaszyfrowany tekst.
Criggie