DNS A запись с https: // в метке

19

Недавно я впервые столкнулся с записью в форме:

https://www.example.com.    <TTL>   IN  A   <IP address>

Насколько я знаю, эта запись является преднамеренной (то есть не ошибка). Я знаю, что двоеточие и косая черта являются допустимыми символами для метки, согласно RFC 2181 , но я не понимаю цели записи. Использует ли какой-либо центр сертификации эту форму для проверки контроля домена? Защищает ли эта форма от какого-либо типа эксплойта? Отловить ошибку пользователя или известную проблему с программным обеспечением?

domain-name-system a-record Binky
источник
1
Отличается ли IP-адрес от соответствующего www.example.com? Что заставляет вас думать, что это преднамеренно, а не ошибка?
Jcaron
Причина, по которой я подозреваю, что эта запись A не является неправильно настроенной, заключается в том, что организация, контролирующая эти записи, является крупной корпорацией с большим присутствием в сети, чьи записи DNS, как я ожидаю, будут подвергнуты тщательному анализу. Но я вполне могу поверить, что эти записи являются ошибкой. Я углублюсь (не каламбур) в этом вопросе дальше и выложу обновление, если я определю причину записей.
Бинки
Если у кого-то есть учетная запись Farsight DNSDB или похожая служба, и он хочет запросить полное DNS-пространство для других записей A, имеющих «https: //», это было бы действительно здорово. :)
Бинки
Отображение IP-адреса для записи A https://www.example.comотличается от сопоставления IP-адреса для www.example.com. Первый сопоставляется с адресами (несколькими записями A) в сетевом блоке / 16, принадлежащем «example.com» для каждого ARIN-сервера. Последний сопоставляется с CNAME в домене основного поставщика CDN. Цепочка CNAME в конечном итоге сопоставляется с IP-адресом в сети провайдера CDN
Binky
@ Бинки: Это не веская причина подозревать, что это не неправильно. Некомпетентность в крупных корпорациях встречается крайне часто.
R ..

Ответы:

51

Наиболее вероятным объяснением является то, что пользователь, не знакомый с DNS, попытался настроить записи DNS и допустил ошибку, которая очевидна для всех, кто знаком с DNS, но не для тех, кто не знает.

Хотя метка DNS может представлять собой любые произвольные двоичные данные в целом , вам следует прочитать оставшуюся часть раздела 11, в частности:

Однако обратите внимание, что различные приложения, которые используют данные DNS, могут иметь ограничения, налагаемые на то, какие конкретные значения являются приемлемыми в их среде. Например, то, что любая двоичная метка может иметь запись MX, не означает, что любое двоичное имя может использоваться в качестве части хоста адреса электронной почты. Клиенты DNS могут налагать любые ограничения, соответствующие их обстоятельствам, на значения, которые они используют в качестве ключей для запросов поиска DNS, и на значения, возвращаемые DNS. Если клиент имеет такие ограничения, он несет полную ответственность за проверку данных из DNS, чтобы убедиться, что они соответствуют, прежде чем он будет использовать эти данные.

Среди прочего, это означает, что синтаксис меток может быть ограничен в зависимости от типа RR. Как указано в разделе 2.1 RFC 1123 и RFC 952, имена хостов в Интернете имеют такой ограниченный синтаксис, при котором двоеточие и косая черта недопустимы.

Майкл Хэмптон
источник
1

Это неправильно для стандартного адреса, но, возможно, кто-то использует DNS в качестве устройства внешней связи.

Нетрудно представить, что нужно передавать данные через DNS, а не через «нормальные» каналы.

djsmiley2k - CoW
источник
1
Не могли бы вы пойти дальше и представить для нас? Поскольку именно этот ответ на самом деле не говорит о том, что может происходить - просто тот, кто отвечает, считает, что это логично.
Сайбугу
1
возможно, кто-то использует DNS в качестве устройства внешней связи. @ djsmiley2k Я не упоминал об этой возможности в своем первоначальном посте, потому что организация, контролирующая эти записи A, является корпорацией с существенными требованиями безопасности / соответствия. Для этих записей быть механизмом внеполосного доступа было бы крайне маловероятным, и если бы записи были взломом OOB, то последствия были бы ... страшными.
Бинки
@ Достаточно справедливо, в этом случае это маловероятно, но в других это возможно.
djsmiley2k - CoW
Это, конечно, возможно, но боковые каналы DNS обычно выполняются с текстом в записи TXT, а не с самим именем хоста. Кроме того, «https: //» выглядит как ошибка, а не зашифрованный текст.
Criggie