6.4. Bogus DNSSEC Responses (偽の DNSSEC 応答)

6.4 Bogus DNSSEC Responses (偽の DNSSEC 応答)

CAA RR への問い合わせは多くの DNS RR タイプとは異なります. CAA RR への問い合わせに対する署名付き空応答は, 偽応答と意味が異なります. 署名付き空応答は, 与えられたラベルに CAA 方針が全く設定されていないことを示します. 偽応答は誤設定ゾーンまたは攻撃者による改変のいずれかを意味し得ます. DNSSEC 実装は空応答の署名にバグを抱えていても気づかれないことがあります. A や AAAA などより一般的な RR タイプでは, エンドユーザにとって空と偽の違いは無意味で, どちらもサイトが利用不能であることを意味するからです.

特に, ライブ署名を実装する権威リゾルバの少なくとも2つは, DNSSEC 署名ゾーンの空 RRset を返す際に大小文字混在の問い合わせと組み合わせるとバグがありました. 大小文字混在の問い合わせ (DNS 0x20 とも呼ばれる) は, 一部の再帰リゾルバが DNS 毒入れ攻撃への耐性を高めるために用います. DNSSEC 署名権威リゾルバは, 問い合わせから同じ大文字小文字を ANSWER セクションにコピーすると同時に, すべて小文字だったかのように応答に署名することが期待されます. 特に PowerDNS 4.0.4 未満のバージョンにこのバグがありました.