Registro DNS A con https: // en la etiqueta

19

Recientemente encontré por primera vez un registro A del formulario:

https://www.example.com.    <TTL>   IN  A   <IP address>

Hasta donde yo sé, este registro es deliberado (es decir, no es un error). Sé que los dos puntos y la barra diagonal son caracteres válidos para una etiqueta, según RFC 2181 , pero no entiendo el propósito del registro. ¿Alguna autoridad de certificación utiliza este formulario para la validación de control de dominio? ¿Esta forma protege contra algún tipo de exploit? ¿Atrapa algún tipo de error de usuario o problema conocido con el software?

Binky
fuente
1
¿Es la dirección IP diferente de la correspondiente a www.example.com? ¿Qué te hace pensar que esto es deliberado y no un error?
jcaron
La razón por la que sospecho que este registro A no está mal configurado es porque la organización que controla estos registros es una importante corporación con una gran presencia en línea, cuyos registros DNS esperaría que estuvieran bajo un escrutinio significativo. Pero soy completamente capaz de creer que estos registros A son un error. Profundizaré (sin juego de palabras) en este problema y publicaré una actualización si determino el motivo de los registros.
Binky
Si alguien tiene una cuenta DNSDB de Farsight o un servicio similar y desea consultar el espacio DNS completo para otros registros A que tengan "https: //", sería genial. :)
Binky
La asignación de direcciones IP del registro A para https://www.example.comes diferente de la asignación de direcciones IP para www.example.com. Los primeros mapas a direcciones (múltiples registros A) en el / 16 netblock propiedad de "example.com" por ARIN whois. Este último se asigna a un CNAME en el dominio de un importante proveedor de CDN. La cadena CNAME finalmente se asigna a una dirección IP en la red del proveedor de CDN
Binky
@Binky: Esa no es una buena razón para sospechar que no está mal configurada. La incompetencia en las grandes corporaciones es extremadamente común.
R ..

Respuestas:

51

La explicación más probable es que un usuario que no está familiarizado con DNS intentó configurar los registros DNS y cometió un error que es evidentemente obvio para cualquiera que esté familiarizado con DNS, pero no para las personas que no lo están.

Si bien una etiqueta DNS puede ser cualquier información binaria arbitraria en general , debe leer el resto de la sección 11, en particular:

Sin embargo, tenga en cuenta que las diversas aplicaciones que hacen uso de datos DNS pueden tener restricciones impuestas sobre qué valores particulares son aceptables en su entorno. Por ejemplo, que cualquier etiqueta binaria pueda tener un registro MX no implica que se pueda usar ningún nombre binario como parte del host de una dirección de correo electrónico. Los clientes del DNS pueden imponer las restricciones apropiadas a sus circunstancias en los valores que usan como claves para las solicitudes de búsqueda de DNS y en los valores devueltos por el DNS. Si el cliente tiene tales restricciones, es el único responsable de validar los datos del DNS para asegurarse de que se ajustan antes de hacer uso de esos datos.

Entre otras cosas, esto significa que la sintaxis de la etiqueta puede verse limitada según el tipo de RR. Como se especifica en RFC 1123 sección 2.1 y RFC 952, los nombres de host de Internet tienen una sintaxis tan restringida, en la que los dos puntos y la barra diagonal no son válidos.

Michael Hampton
fuente
1

Está mal para una dirección estándar, pero posiblemente sea alguien que usa DNS como dispositivo de comunicación fuera de banda.

No es difícil imaginar tener que pasar datos a través de DNS en lugar de a través de canales 'normales'.

djsmiley2k - Vaca
fuente
1
¿Podrías seguir adelante e imaginar para nosotros? Como es esta respuesta, en realidad no dice lo que podría estar sucediendo, solo que el que responde cree que es lógico.
Saiboogu
1
posiblemente sea alguien que use DNS como dispositivo de comunicación fuera de banda. @ djsmiley2k No mencioné esta posibilidad en mi publicación original porque la organización que controla estos registros A es una corporación con requisitos sustanciales de seguridad / cumplimiento. Para estos registros ser un mecanismo de acceso fuera de banda sería muy poco probable, y si los registros fueran un hackeo OOB, entonces las repercusiones serían ... aterradoras.
Binky
@Blinky es justo, es poco probable en este caso, pero es una posibilidad en otros.
djsmiley2k - CoW
Esto es ciertamente posible, pero los canales laterales de DNS normalmente se realizan con texto en un registro TXT, y no en el nombre de host en sí. Además, "https: //" parece un error, no un texto cifrado.
Criggie