DNS Etikette https: // bulunan bir kayıt

Geçenlerde ilk kez formun bir A kaydı ile karşılaştım:

https://www.example.com.    <TTL>   IN  A   <IP address>

Bildiğim kadarıyla, bu kayıt kasıtlı (yani bir hata değil). İki nokta üst üste ve eğik çizginin RFC 2181 uyarınca bir etiket için geçerli karakterler olduğunu biliyorum , ancak kaydın amacını anlamıyorum. Bazı sertifika yetkilileri bu formu etki alanı denetimi doğrulaması için kullanıyor mu? Bu form bir tür sömürüye karşı koruma sağlıyor mu? Bir tür kullanıcı hatası veya yazılım ile ilgili bilinen bir sorunu tuzak?

domain-name-system a-record

— Binky
kaynak

IP adresi eşleşen www.example.com adresinden farklı mı? Bunun kasıtlı ve hata değil olduğunu düşündüren nedir?

— jcaron

Bunun A kaydının yanlış yapılandırılmamış olduğundan şüphelenmemizin nedeni, bu kayıtları kontrol eden kuruluşun, DNS kayıtlarının önemli bir inceleme altında olmasını beklediğim büyük bir çevrimiçi varlığı olan büyük bir şirket olmasıdır. Ama bu A kayıtlarının bir hata olduğuna tamamen inanabiliyorum. Bu konuyu daha fazla kazmaya (cezalandırma amaçlı değil) ve kayıtların nedenini belirlersem bir güncelleme yayınlayacağım.

— Binky

Herhangi birinin bir Farsight DNSDB hesabı veya benzer bir hizmeti varsa ve "https: //" içeren diğer A kayıtları için tam DNS alanını sorgulamak istiyorsanız, bu gerçekten harika olurdu. :)

— Binky

İçin A kaydının https://www.example.comIP adresi eşlemesi, IP adresi eşlemesinden farklıdır www.example.com. Önceki ARIN whois başına "example.com" a ait olan / 16 netblock içindeki adreslerle (çoklu A kayıtları) eşleşir. İkincisi, büyük bir CDN sağlayıcısının alanındaki bir CNAME ile eşleşir. CNAME zinciri en sonunda CDN sağlayıcısının ağındaki bir IP adresiyle

— Binky

@Binky: Yani değil o yanlış yapılandırmadığınızdan değil şüphelenmek için iyi bir neden. Büyük şirketlerde yetersizlik son derece yaygındır.

— R ..

Yanıtlar:

En olası açıklama, DNS'yi bilmeyen bir kullanıcının DNS kayıtlarını yapılandırmaya çalıştığı ve DNS'ye aşina olan herkes için göze çarpan bir şekilde açıkça görülen, ancak olmayan kişilere açık olmayan bir hata yaptığı bir kullanıcıdır.

Bir DNS etiketi genel olarak herhangi bir arbiter ikili veri olabilse de , özellikle bölüm 11'in geri kalanını okumalısınız:

Ancak, DNS verilerini kullanan çeşitli uygulamaların, ortamlarında hangi belirli değerlerin kabul edilebilir olduğuna ilişkin kısıtlamalar olabileceğini unutmayın. Örneğin, herhangi bir ikili etiketin bir MX kaydına sahip olabilmesi, herhangi bir ikili adın e-posta adresinin ana bilgisayar parçası olarak kullanılabileceği anlamına gelmez. DNS istemcileri, DNS arama istekleri için anahtar olarak kullandıkları değerlere ve DNS tarafından döndürülen değerlere, koşullarına uygun olan her türlü kısıtlamayı uygulayabilir. İstemcinin bu tür kısıtlamaları varsa, bu verileri kullanmadan önce uygun olduğundan emin olmak için verileri DNS'den doğrulamak yalnızca sorumludur.

Diğer şeylerin yanı sıra, RR sözdizimine bağlı olarak etiket sözdiziminin kısıtlanabileceği anlamına gelir. RFC 1123 bölüm 2.1 ve RFC 952'de belirtildiği gibi, Internet ana bilgisayar adlarında, iki nokta üst üste ve eğik çizginin geçerli olmadığı kısıtlı bir sözdizimi vardır.

— Michael Hampton
kaynak

Standart bir adres için yanlış, ancak muhtemelen DNS'yi bant dışı iletişim cihazı olarak kullanan biri.

Verileri 'normal' kanallar yerine DNS üzerinden aktarmak zorunda kalmayı hayal etmek zor değil.

— djsmiley2k - CoW
kaynak

Devam edip bizim için hayal edebiliyor musunuz? Bu cevap gerçekten ne olabileceğini söylemiyor - sadece cevaplayıcının mantıklı olduğunu düşünüyor.

— Saiboogu

muhtemelen DNS'yi bant dışı iletişim cihazı olarak kullanan biri. @ djsmiley2k Bu yazıyı kontrol eden kuruluş önemli güvenlik / uyumluluk gereksinimleri olan bir şirket olduğu için orijinal gönderimde bu olasılıktan bahsetmedim. Bu kayıtların bant dışı bir erişim mekanizması olması çok olası değildir ve kayıtlar bir OOB hack olsaydı, yankılar ... korkutucu olurdu.

— Binky

@Blinky yeterince adil, bu durumda olası değil, ancak diğerlerinde bir olasılık.

— djsmiley2k - CoW

Bu kesinlikle olası bir şeydir, ancak DNS yan kanalları normalde ana bilgisayar adında değil, bir TXT kaydındaki metinle yapılır. Ayrıca "https: //" şifreli bir metin değil, bir hata gibi görünür.

— Criggie