DNS A record dengan https: // dalam label


19

Saya baru-baru ini menemukan untuk pertama kalinya sebuah catatan bentuk:

https://www.example.com.    <TTL>   IN  A   <IP address>

Sejauh yang saya tahu, catatan ini disengaja (yaitu bukan kesalahan). Saya tahu bahwa titik dua dan garis miring adalah karakter yang valid untuk label, per RFC 2181 , tapi saya tidak mengerti tujuan rekaman. Apakah beberapa otoritas sertifikat menggunakan formulir ini untuk validasi kontrol domain? Apakah formulir ini melindungi dari beberapa jenis eksploitasi? Perangkap beberapa jenis kesalahan pengguna atau masalah yang diketahui dengan perangkat lunak?


1
Apakah alamat IP berbeda dari yang untuk pencocokan www.example.com? Apa yang membuat Anda berpikir ini disengaja dan bukan kesalahan?
jcaron

Alasan saya mencurigai catatan A ini tidak terkonfigurasi dengan benar adalah karena organisasi yang mengendalikan catatan-catatan ini adalah perusahaan besar dengan kehadiran online yang besar, yang catatan DNS-nya saya harapkan berada di bawah pengawasan yang signifikan. Tetapi saya sepenuhnya mampu percaya bahwa catatan A ini adalah kesalahan. Saya akan menggali (tidak bermaksud kata-kata) ke dalam masalah ini lebih lanjut dan memposting pembaruan jika saya menentukan alasan untuk catatan tersebut.
Binky

Jika ada yang memiliki akun DNSDB Farsight atau layanan serupa, dan ingin meminta ruang DNS penuh untuk catatan A lainnya yang memiliki "https: //", itu akan sangat keren. :)
Binky

Pemetaan alamat IP dari catatan A https://www.example.comberbeda dari pemetaan alamat IP untuk www.example.com. Mantan peta ke alamat (beberapa catatan A) di netblock / 16 yang dimiliki oleh "example.com" per ARIN whois. Yang terakhir memetakan ke CNAME dalam domain penyedia CDN utama. Rantai CNAME akhirnya memetakan ke alamat IP di jaringan penyedia CDN
Binky

@ Binky: Itu bukan alasan yang bagus untuk curiga itu tidak salah konfigurasi. Ketidakmampuan dalam perusahaan besar sangat umum.
R ..

Jawaban:


51

Penjelasan yang paling mungkin adalah pengguna yang tidak terbiasa dengan DNS mencoba mengkonfigurasi catatan DNS dan membuat kesalahan yang sangat jelas bagi siapa pun yang akrab dengan DNS, tetapi tidak untuk orang yang tidak.

Sementara label DNS dapat berupa data biner arbiter pada umumnya , Anda harus membaca bagian 11 lainnya, khususnya:

Namun perlu dicatat, bahwa berbagai aplikasi yang menggunakan data DNS dapat memiliki batasan yang dikenakan pada nilai-nilai tertentu yang dapat diterima di lingkungan mereka. Misalnya, bahwa label biner apa pun dapat memiliki data MX tidak menyiratkan bahwa nama biner apa pun dapat digunakan sebagai bagian host dari alamat email. Klien DNS dapat memaksakan pembatasan apa pun yang sesuai dengan keadaan mereka pada nilai-nilai yang mereka gunakan sebagai kunci untuk permintaan pencarian DNS, dan pada nilai-nilai yang dikembalikan oleh DNS. Jika klien memiliki batasan seperti itu, itu sepenuhnya bertanggung jawab untuk memvalidasi data dari DNS untuk memastikan bahwa itu sesuai sebelum menggunakan data itu.

Antara lain, ini berarti bahwa sintaks label dapat dibatasi tergantung pada tipe RR. Seperti ditentukan dalam RFC 1123 bagian 2.1 dan RFC 952, nama host Internet memiliki sintaks yang dibatasi, di mana titik dua dan garis miring tidak valid.


1

Itu salah untuk alamat standar tetapi mungkin seseorang menggunakan DNS sebagai perangkat komunikasi out-band.

Tidak sulit membayangkan harus meneruskan data melalui DNS alih-alih melalui saluran 'normal'.


1
Bisakah Anda teruskan dan bayangkan untuk kami? Karena jawaban ini tidak benar-benar mengatakan apa yang mungkin terjadi - hanya saja penjawab menganggapnya logis.
Saiboogu

1
itu mungkin seseorang yang menggunakan DNS sebagai perangkat komunikasi out-band. @ djsmiley2k Saya tidak menyebutkan kemungkinan ini di posting asli saya karena organisasi yang mengendalikan catatan A ini adalah perusahaan dengan persyaratan keamanan / kepatuhan yang substansial. Untuk catatan ini menjadi mekanisme akses out-of-band akan sangat tidak mungkin, dan jika catatan adalah hack OOB, maka akibatnya akan ... menakutkan.
Binky

@ Link cukup adil, tidak mungkin dalam kasus ini, tetapi kemungkinan pada orang lain.
djsmiley2k - KK

Ini tentu hal yang mungkin, tetapi saluran samping DNS biasanya dilakukan dengan teks dalam catatan TXT, dan bukan pada nama host itu sendiri. Selain itu "https: //" terlihat seperti kesalahan, bukan teks yang di-cypher.
Criggie
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.