Enregistrement DNS A avec https: // dans l'étiquette

19

J'ai récemment rencontré pour la première fois un enregistrement A de la forme:

https://www.example.com.    <TTL>   IN  A   <IP address>

Pour autant que je sache, ce dossier est délibéré (c'est-à-dire pas une erreur). Je sais que les deux-points et la barre oblique sont des caractères valides pour une étiquette, selon la RFC 2181 , mais je ne comprends pas le but de l'enregistrement. Une autorité de certification utilise-t-elle ce formulaire pour la validation du contrôle de domaine? Ce formulaire protège-t-il contre un certain type d'exploitation? Piège une sorte d'erreur utilisateur ou un problème connu avec le logiciel?

Binky
la source
1
L'adresse IP est-elle différente de celle du site www.example.com correspondant? Qu'est-ce qui vous fait penser que c'est délibéré et non une erreur?
jcaron
La raison pour laquelle je soupçonne cet enregistrement A n'est pas mal configurée parce que l'organisation contrôlant ces enregistrements est une grande entreprise avec une grande présence en ligne, dont je m'attendrais à ce que les enregistrements DNS soient soumis à un examen approfondi. Mais je suis tout à fait capable de croire que ces enregistrements A sont une erreur. Je vais approfondir (sans jeu de mots) ce problème et publier une mise à jour si je détermine la raison des enregistrements.
Binky
Si quelqu'un a un compte DNSDB Farsight ou un service similaire et souhaite interroger l'espace DNS complet pour d'autres enregistrements A ayant "https: //", ce serait vraiment cool. :)
Binky
Le mappage d'adresse IP de l'enregistrement A pour https://www.example.comest différent du mappage d'adresse IP pour www.example.com. L'ancien mappe vers des adresses (plusieurs enregistrements A) dans le netblock / 16 appartenant à "example.com" par ARIN whois. Ce dernier est mappé à un CNAME dans le domaine d'un important fournisseur CDN. La chaîne CNAME est finalement mappée à une adresse IP dans le réseau du fournisseur CDN
Binky
@Binky: Ce n'est pas une bonne raison de soupçonner que ce n'est pas mal configuré. L'incompétence dans les grandes entreprises est extrêmement courante.
R ..

Réponses:

51

L'explication la plus probable est qu'un utilisateur peu familier avec DNS a essayé de configurer les enregistrements DNS et a fait une erreur qui est manifestement évidente pour quiconque est familier avec DNS, mais pas pour les personnes qui ne le sont pas.

Bien qu'une étiquette DNS puisse être n'importe quelle donnée binaire arbitraire en général , vous devriez lire le reste de la section 11, en particulier:

Notez cependant que les diverses applications qui utilisent des données DNS peuvent avoir des restrictions imposées sur les valeurs particulières acceptables dans leur environnement. Par exemple, le fait que n'importe quelle étiquette binaire puisse avoir un enregistrement MX n'implique pas qu'un nom binaire puisse être utilisé comme partie hôte d'une adresse de messagerie. Les clients du DNS peuvent imposer toutes les restrictions appropriées à leur situation sur les valeurs qu'ils utilisent comme clés pour les requêtes de recherche DNS et sur les valeurs renvoyées par le DNS. Si le client a de telles restrictions, il est seul responsable de la validation des données du DNS pour s'assurer de leur conformité avant d'utiliser ces données.

Entre autres choses, cela signifie que la syntaxe d'étiquette peut être contrainte en fonction du type RR. Comme spécifié dans RFC 1123 section 2.1 et RFC 952, les noms d'hôtes Internet ont une telle syntaxe contrainte, dans laquelle les deux-points et la barre oblique ne sont pas valides.

Michael Hampton
la source
1

C'est faux pour une adresse standard, mais c'est peut-être quelqu'un qui utilise DNS comme périphérique de communication hors bande.

Il n'est pas difficile d'imaginer devoir passer des données via DNS au lieu de passer par des canaux «normaux».

djsmiley2k - CoW
la source
1
Pourriez-vous aller de l'avant et imaginer pour nous? Comme il s'agit de cette réponse ne dit pas vraiment ce qui pourrait arriver - juste que le répondeur pense que c'est logique.
Saiboogu
1
c'est peut-être quelqu'un qui utilise DNS comme périphérique de communication hors bande. @ djsmiley2k Je n'ai pas mentionné cette possibilité dans mon message d'origine parce que l'organisation contrôlant ces enregistrements A est une société avec des exigences de sécurité / conformité importantes. Pour que ces enregistrements soient un mécanisme d'accès hors bande, il serait hautement improbable, et si les enregistrements étaient un hack OOB, alors les répercussions seraient ... effrayantes.
Binky
@Blinky assez juste, c'est peu probable dans ce cas, mais c'est une possibilité dans d'autres.
djsmiley2k - CoW
C'est certainement une chose possible, mais les canaux latéraux DNS se font normalement avec du texte dans un enregistrement TXT, et non dans le nom d'hôte lui-même. De plus, "https: //" ressemble à une erreur, pas à un texte chiffré.
Criggie