¿Por qué mi navegador no resuelve algunos hostNames una vez que se invierte dns?

2

Tengo algunas preguntas nuevas sobre dns.
Estos son los pasos que me llevan a esos:

C:\Windows\system32>nslookup google.ca
Serveur :   p81-004.pixelweb.net
Address:  206.41.81.4

Réponse ne faisant pas autorité :
Nom :    google.ca
Addresses:  2607:f8b0:4006:80b::1018
      107.161.13.237
      107.161.13.241
      107.161.13.245
      107.161.13.249
      107.161.13.251
      107.161.13.207
      107.161.13.211
      107.161.13.215
      107.161.13.219
      107.161.13.221
      107.161.13.222
      107.161.13.226
      107.161.13.230
      107.161.13.234
      107.161.13.236

Entonces

C:\Windows\system32>nslookup 107.161.13.237
Serveur :   p81-004.pixelweb.net
Address:  206.41.81.4

Nom :    cache.google.com
Address:  107.161.13.237

Tenga en cuenta que obtuve cache.google.comcualquiera de esas direcciones.

    Mis preguntas son:
  • ¿Por qué se asocia un rango completo de direcciones IP con un solo nombre de host? ¿ cache.google.comEstá relacionado con SSL?
  • ¿Por qué nslookupomití algunas direcciones de Google dentro del rango 207: 251 que responden perfectamente en mi navegador?
  • ¿Por qué se https://107.161.13.237resuelve eso y no se resuelve https://cache.google.com/?
  • ¿Por qué Firefox me dice que https://107.161.13.237no es una conexión certificada, mientras que 107.161.13.237solo lo es?

¡Muchas gracias por sus respuestas!

Jules Randolph
fuente

Respuestas:

1

¿Por qué se asocia un rango completo de direcciones IP con un solo nombre de host cache.google.com, está relacionado con SSL?

Esto no tiene nada que ver con SSL. Los clientes usarán cualquiera de estas direcciones IP y si esto falla, intentarán con otra. Si vuelve a hacer la solicitud, podría incluso proporcionar otra IP o la misma IP en un orden diferente. Esta es una forma de equilibrar la carga entre diferentes servidores.

¿por qué nslookup omitió algunas direcciones de google dentro del rango 207: 251 que responden perfectamente en mi navegador?

Es posible que Google solo devuelva la IP que está cerca de usted y, por lo tanto, sea más rápida o que le gustaría que usted usara en este momento. Nuevamente, la IP y el orden pueden cambiar para búsquedas DNS posteriores como una forma de equilibrar la carga entre diferentes servidores. También podría cambiar si consulta otros servidores DNS.

¿Por qué se https://107.161.13.237resuelve eso y no se resuelve https://cache.google.com/?

Esta es una especie de configuración extraña, que la búsqueda inversa de la IP resuelve en un nombre de host, pero falla al resolver el mismo nombre de host. Pero, los registros inversos (IP a nombre) y los registros de dirección (nombre a IP) son entradas separadas en DNS y no se garantiza que coincidan entre sí. A menudo ni siquiera tienes registros inversos.

¿Por qué Firefox me dice que https://107.161.13.237no es una conexión certificada, mientras que 107.161.13.237 solo lo es?

Porque necesita verificar la identidad en el certificado contra la identidad dada. Si observa el certificado, verá que es para varios dominios de Google, entre ellos google.ca. Pero no es para una dirección IP. Debido a que solo solicitó la dirección IP, verificará esta IP contra el certificado y no encontrará una coincidencia. Si ha solicitado https://google.caen su lugar, encontrará la coincidencia.

En cuanto a "107.161.13.237 solo" - esto sería acceso por HTTP y no HTTPS, por lo que no hay SSL / TLS involucrado y no hay certificados disponibles y pueden ser verificados. Es por eso que la conexión tendrá éxito, pero a diferencia de HTTPS, no está encriptada.

Steffen Ullrich
fuente
Muchas gracias por todas esas respuestas muy claras (todavía no puedo votar, pero tendré 15crdts). Sin embargo, me viene a la mente una última pregunta con respecto a su última oración: ¿por qué se puede acceder a http a través del acceso directo de IP mientras se redirige a una solicitud https cuando se accede a ella http://www.google.ca/? ¿Es firefox, el sistema operativo (lo dudo), el servidor dns o el servidor de google (también lo dudo) que operan esta redirección?
Jules Randolph
En este caso, la redirección la realiza el servidor, utilizando una redirección HTTP . No es posible una redirección en la capa DNS. Es posible que el navegador redirija, si detecta que el acceso no cifrado a una página que se sabe de visitas anteriores solo es accesible cifrado, vea HSTS .
Steffen Ullrich