6.4. Bogus DNSSEC Responses (Réponses DNSSEC frauduleuses)

6.4 Bogus DNSSEC Responses (Réponses DNSSEC frauduleuses)

Les requêtes pour des RR CAA diffèrent de la plupart des types RR DNS, car une réponse vide signée à une requête CAA a une signification distincte d'une réponse frauduleuse. Une réponse vide signée indique qu'aucune politique CAA n'est définie à une étiquette donnée. Une réponse frauduleuse peut signifier une zone mal configurée ou une altération par un attaquant. Les implémentations DNSSEC peuvent contenir des bugs sur les signatures des réponses vides qui passent inaperçus, car pour des types plus courants comme A et AAAA, la différence entre vide et frauduleux est sans importance pour l'utilisateur final ; les deux signifient que le site est indisponible.

En particulier, au moins deux résolveurs faisant autorité avec signature à la volée présentaient des bugs lors du renvoi de RRsets vides pour des zones signées DNSSEC, combinés à des requêtes en casse mixte. Les requêtes en casse mixte, aussi appelées DNS 0x20, sont utilisées par certains résolveurs récursifs pour accroître la résilience face à l'empoisonnement DNS. On attend des résolveurs faisant autorité signés DNSSEC qu'ils copient la casse de la requête dans la section ANSWER tout en signant la réponse comme si tout était en minuscules. En particulier, les versions de PowerDNS antérieures à 4.0.4 présentaient ce bug.