[linux-support] DNSSEC SOA und NSEC
Markus Wernig
wernigm at lugbe.ch
Sat Aug 2 14:31:20 CEST 2014
On 08/01/2014 09:29 PM, Markus Wernig wrote:
> Soweit, so gut. Anfragen für A-Records kommen auch brav signiert zurück:
>
> host -a web01.wernig.priv.at
...
> web01.wernig.priv.at. 43200 IN NSEC web02.wernig.priv.at.
A RRSIG NSEC
>
> Wo kommt der Eintrag her??? Das selbe Phänomen tritt bei allen
> A-Records auf, nur ist der zweite dann immer ein anderer Record ...
OK, Problem 1 hat sich erledigt, ist gar keines - NSEC RR für einen
Eintrag zeigen immer auf den nächsten (alphabetisch geordntet) Eintrag
in der Zone. Damit soll sichergestellt werden, dass niemand gefälschte
zusätzliche Records einschleusen kann. Im Gegenzug dafür ermöglicht das
natürlich jedem, über alle Einträge der Zone zu iterieren.
Mir bleibt das Problem 2), dass die Antwort auf die Anfrage nach SOA
keine RRSIG enthält, obwohl die im Zonenfile vorhanden sind:
wernig.priv.at. 43200 IN SOA ns1.wernig.priv.at. info.xfer.ch. (
2014080104 ; serial
43200 ; refresh (12 hours)
180 ; retry (3 minutes)
7257600 ; expire (12 weeks)
43200 ; minimum (12 hours)
)
43200 RRSIG SOA 5 3 43200 (
20140831181027 20140801181027 64278 wernig.priv.at.
Ir1HKOjVswlH8vvcDtt45kRQrQDfRcbcyz1F
1PBWxhTnX80SJJ1e29iqG3AiEYMhLnK0WL6M
KlNllSp5UC4qSU2JYRT3beFMiAIwR6Z/Nlj9
9o8bPg8KqqLnJvxyOdhrLe/ujUSyhk9sxh0u
0JiGCd0se5KfNR3Hfx+DIkr6AvM= )
lg /markus
--
Markus Wernig
Präsident LugBE
GPG: 8E82E4DC
---------------------------------------------
Linux User Group Bern - http://lugbe.ch
---------------------------------------------
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 793 bytes
Desc: OpenPGP digital signature
URL: <http://maillists.lugbe.ch/pipermail/linux-support/attachments/20140802/3be4e3b7/attachment.sig>
More information about the Linux-support
mailing list