6.4. Bogus DNSSEC Responses (Risposte DNSSEC false)

6.4 Bogus DNSSEC Responses (Risposte DNSSEC false)

Le query per RR CAA differiscono dalla maggior parte dei tipi RR DNS, perché una risposta vuota firmata a una query CAA è significativamente diversa da una risposta falsa. Una risposta vuota firmata indica che non è definita alcuna politica CAA a una data etichetta. Una risposta falsa può significare zona mal configurata o manomissione da attaccante. Le implementazioni DNSSEC possono avere bug sulle firme delle risposte vuote che passano inosservati, perché per tipi più comuni come A e AAAA, per l'utente finale la differenza tra vuoto e falso è irrilevante; entrambi indicano sito non disponibile.

In particolare, almeno due risolutori autoritativi con firma in tempo reale presentavano bug nel restituire RRset vuoti per zone firmate DNSSEC, in combinazione con query in maiuscole/minuscole miste. Tali query, note anche come DNS 0x20, sono usate da alcuni risolutori ricorsivi per aumentare la resilienza al poisoning DNS. Dai risolutori autoritativi con firma DNSSEC ci si attende che copino la stessa capitalizzazione dalla query nella sezione ANSWER ma firmino la risposta come se avessero usato tutto minuscolo. In particolare, PowerDNS versioni precedenti alla 4.0.4 presentavano questo bug.