Zum Hauptinhalt springen

6.4. Bogus DNSSEC Responses (Betrügerische DNSSEC-Antworten)

6.4 Bogus DNSSEC Responses (Betrügerische DNSSEC-Antworten)

CAA-RR-Anfragen unterscheiden sich von den meisten RR-Typen: Eine signierte leere Antwort auf CAA ist semantisch anders als eine betrügerische. Signiert leer bedeutet: an diesem Label ist definitiv keine CAA-Richtlinie. Betrügerisch kann Fehlkonfiguration oder Manipulation bedeuten. DNSSEC-Implementierungen können Fehler bei Signaturen leerer Antworten haben, die unbemerkt bleiben, weil bei A/AAAA leer und betrügerisch für Nutzer gleichbedeutend sind.

Insbesondere hatten mindestens zwei autoritative Live-Signing-Resolver Bugs bei leeren RRsets in DNSSEC-Zonen zusammen mit Mixed-Case-Anfragen. Mixed-Case (DNS 0x20) nutzen rekursive Resolver gegen Poisoning. Autoritative DNSSEC-Signing-Resolver sollen die Groß-/Kleinschreibung aus der Anfrage in ANSWER kopieren, aber signieren wie alles kleingeschrieben. PowerDNS vor 4.0.4 wies diesen Fehler auf.

Letztes Update am