6.4. Bogus DNSSEC Responses (伪造的 DNSSEC 响应)

6.4 Bogus DNSSEC Responses (伪造的 DNSSEC 响应)

对 CAA RR 的查询与大多数 DNS RR 类型不同, 因为对 CAA RR 的已签名空响应与伪造响应具有不同含义。已签名空响应表明在给定标签下确实未设置 CAA 策略。伪造响应可能表示区域配置错误, 或攻击者篡改记录。DNSSEC 实现对空响应的签名可能存在缺陷却长期未被发现, 因为对 A, AAAA 等更常见类型, 终端用户看来空响应与伪造都意味着站点不可用。

特别是, 至少有两个实现实时签名的权威解析器在返回 DNSSEC 签名区域的空 RRset 时, 与混合大小写查询结合会出现缺陷。混合大小写查询又称 DNS 0x20, 部分递归解析器用它增强对 DNS 投毒攻击的抵御能力。预期 DNSSEC 签名权威解析器将查询中的大小写复制到 ANSWER 段, 同时按全部小写对响应签名。特别是 PowerDNS 4.0.4 之前的版本存在该缺陷。