Passa al contenuto principale

9. Stati DNSSEC

Un resolver validante può determinare che una risposta è in uno di quattro stati: secure (sicuro), insecure (non sicuro), bogus o indeterminate (indeterminato). Questi stati sono definiti in [RFC4033] e [RFC4035], anche se le due definizioni differiscono un po'. Questo documento non fa alcuno sforzo per riconciliare le due definizioni e non prende posizione sul fatto che debbano essere riconciliate.

La Sezione 5 di [RFC4033] dice:

Un resolver validante può determinare i seguenti 4 stati:

Secure (Sicuro): Il resolver validante ha un'ancora di fiducia, ha una catena di fiducia, ed è in grado di verificare tutte le firme nella risposta.

Insecure (Non sicuro): Il resolver validante ha un'ancora di fiducia, una catena di fiducia, e, a un certo punto di delega, prova firmata della non esistenza di un record DS. Questo indica che i rami successivi nell'albero sono provabilmente non sicuri. Un resolver validante può avere una politica locale per contrassegnare parti dello spazio di dominio come non sicure.

Bogus: Il resolver validante ha un'ancora di fiducia e una delega sicura che indica che i dati sussidiari sono firmati, ma la risposta non riesce a validare per qualche motivo: firme mancanti, firme scadute, firme con algoritmi non supportati, dati mancanti che il relativo RR NSEC dice dovrebbero essere presenti, e così via.

Indeterminate (Indeterminato): Non c'è un'ancora di fiducia che indicherebbe che una porzione specifica dell'albero è sicura. Questa è la modalità operativa predefinita.

La Sezione 4.3 di [RFC4035] dice:

Un resolver consapevole della sicurezza deve essere in grado di distinguere tra quattro casi:

Secure (Sicuro): Un RRset per il quale il resolver è in grado di costruire una catena di DNSKEY e DS RR firmati da un'ancora di sicurezza fidata all'RRset. In questo caso, l'RRset dovrebbe essere firmato ed è soggetto alla validazione della firma, come descritto sopra.

Insecure (Non sicuro): Un RRset per il quale il resolver sa che non ha una catena di DNSKEY e DS RR firmati da qualsiasi punto di partenza fidato all'RRset. Questo può verificarsi quando l'RRset target si trova in una zona non firmata o in un discendente di una zona non firmata. In questo caso, l'RRset può essere o non essere firmato, ma il resolver non sarà in grado di verificare la firma.

Bogus: Un RRset per il quale il resolver crede di dover essere in grado di stabilire una catena di fiducia ma per il quale non è in grado di farlo, sia a causa di firme che per qualche motivo non riescono a validare, sia a causa di dati mancanti che i relativi RR DNSSEC indicano dovrebbero essere presenti. Questo caso può indicare un attacco ma può anche indicare un errore di configurazione o una forma di corruzione dei dati.

Indeterminate (Indeterminato): Un RRset per il quale il resolver non è in grado di determinare se l'RRset dovrebbe essere firmato, poiché il resolver non è in grado di ottenere i necessari RR DNSSEC. Questo può verificarsi quando il resolver consapevole della sicurezza non è in grado di contattare name server consapevoli della sicurezza per le zone rilevanti.

Ultimo aggiornamento il