[dns-esp] Google Open Resolvers activan DNSSEC por default?

Eduardo Kaftanski ekaftan en gmail.com
Jue Mayo 2 16:01:58 CLT 2013 

Veo exactamente lo mismo aca....



2013/5/2 Arturo Servin <aservin en lacnic.net>

>
>         Estaba leyendo en nanog sobre esto. En Marzo Google activo en sus
> open-resolvers dnssec pero solo "opt-in" pero ahora parece que es por
> default. Aquí mis pruebas y parece que si.
>
>
> Este debe fallar y responder servfail porque es un dominio mal firmado a
> propósito.
>
> dig A @8.8.8.8 www.dnssec-failed.org
>
> ; <<>> DiG 9.8.3-P1 <<>> A @8.8.8.8 www.dnssec-failed.org
> ; (1 server found)
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 62928
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
>
> ;; QUESTION SECTION:
> ;www.dnssec-failed.org.         IN      A
>
> ;; Query time: 226 msec
> ;; SERVER: 8.8.8.8#53(8.8.8.8)
> ;; WHEN: Thu May  2 11:42:18 2013
> ;; MSG SIZE  rcvd: 39
>
> Con la bandera para que ignore la validacion dnssec, resuelve.
>
> dig A @8.8.8.8 www.dnssec-failed.org +cd
> ; <<>> DiG 9.8.3-P1 <<>> A @8.8.8.8 www.dnssec-failed.org +cd
> ; (1 server found)
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27748
> ;; flags: qr rd ra cd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
>
> ;; QUESTION SECTION:
> ;www.dnssec-failed.org.         IN      A
>
> ;; ANSWER SECTION:
> www.dnssec-failed.org.  7200    IN      A       69.252.216.215
> www.dnssec-failed.org.  7200    IN      A       69.252.208.135
>
> ;; Query time: 191 msec
> ;; SERVER: 8.8.8.8#53(8.8.8.8)
> ;; WHEN: Thu May  2 11:42:23 2013
> ;; MSG SIZE  rcvd: 71
>
>         También probe poniendo como mi resolver a los servidores de Google
> y la
> pagina de www.dnssec-failed.org me retorna un error del browser que no
> la puede alcanzar.
>
>         Alguien con problemas o funcionando bien? Alguien con información
> de
> Google?
>
> Slds
> as
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
>



-- 
Eduardo Kaftanski
eduardo en kdi.cl
ekaftan en gmail.com
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.nic.cl/pipermail/dns-esp/attachments/20130502/49b2b7ca/attachment.html

Más información sobre la lista de distribución dns-esp