[dns-esp] Google Open Resolvers activan DNSSEC por default?
Cristian Rojas R.
crrojas en nic.cl
Jue Mayo 2 16:31:12 CLT 2013
Efectivamente, el 30/4 llegó un correo de Warren Kumari a la lista de
dnssec-deployment, hablando en nombre de Google indicando lo siguiente:
> And a quick update:
>
> We have recently enabled validation by default globally, and you
> should now get SERVFAIL for validation failures.
> Apologies again for the original, unclear announcement.
>
> The blog / documentation has not been updated yet (that will probably
> happen in the next few days) but we wanted to give you the good news
> as soon as possible.
>
> W
Eduardo Kaftanski wrote:
>
> Veo exactamente lo mismo aca....
>
>
>
> 2013/5/2 Arturo Servin <aservin en lacnic.net <mailto:aservin en lacnic.net>>
>
>
> Estaba leyendo en nanog sobre esto. En Marzo Google activo
> en sus
> open-resolvers dnssec pero solo "opt-in" pero ahora parece que es por
> default. Aquí mis pruebas y parece que si.
>
>
> Este debe fallar y responder servfail porque es un dominio mal
> firmado a
> propósito.
>
> dig A @8.8.8.8 <http://8.8.8.8> www.dnssec-failed.org
> <http://www.dnssec-failed.org>
>
> ; <<>> DiG 9.8.3-P1 <<>> A @8.8.8.8 <http://8.8.8.8>
> www.dnssec-failed.org <http://www.dnssec-failed.org>
> ; (1 server found)
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 62928
> ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
>
> ;; QUESTION SECTION:
> ;www.dnssec-failed.org <http://www.dnssec-failed.org>. IN
> A
>
> ;; Query time: 226 msec
> ;; SERVER: 8.8.8.8#53(8.8.8.8)
> ;; WHEN: Thu May 2 11:42:18 2013
> ;; MSG SIZE rcvd: 39
>
> Con la bandera para que ignore la validacion dnssec, resuelve.
>
> dig A @8.8.8.8 <http://8.8.8.8> www.dnssec-failed.org
> <http://www.dnssec-failed.org> +cd
> ; <<>> DiG 9.8.3-P1 <<>> A @8.8.8.8 <http://8.8.8.8>
> www.dnssec-failed.org <http://www.dnssec-failed.org> +cd
> ; (1 server found)
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27748
> ;; flags: qr rd ra cd; QUERY: 1, ANSWER: 2, AUTHORITY: 0,
> ADDITIONAL: 0
>
> ;; QUESTION SECTION:
> ;www.dnssec-failed.org <http://www.dnssec-failed.org>. IN
> A
>
> ;; ANSWER SECTION:
> www.dnssec-failed.org <http://www.dnssec-failed.org>. 7200 IN
> A 69.252.216.215
> www.dnssec-failed.org <http://www.dnssec-failed.org>. 7200 IN
> A 69.252.208.135
>
> ;; Query time: 191 msec
> ;; SERVER: 8.8.8.8#53(8.8.8.8)
> ;; WHEN: Thu May 2 11:42:23 2013
> ;; MSG SIZE rcvd: 71
>
> También probe poniendo como mi resolver a los servidores
> de Google y la
> pagina de www.dnssec-failed.org <http://www.dnssec-failed.org> me
> retorna un error del browser que no
> la puede alcanzar.
>
> Alguien con problemas o funcionando bien? Alguien con
> información de
> Google?
>
> Slds
> as
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl <mailto:dns-esp en listas.nic.cl>
> https://listas.nic.cl/mailman/listinfo/dns-esp
>
>
>
>
> --
> Eduardo Kaftanski
> eduardo en kdi.cl <mailto:eduardo en kdi.cl>
> ekaftan en gmail.com <mailto:ekaftan en gmail.com>
>
>
> _______________________________________________
> dns-esp mailing list
> dns-esp en listas.nic.cl
> https://listas.nic.cl/mailman/listinfo/dns-esp
--
Cristian A. Rojas R. <crrojas en nic.cl> NIC Chile
Miraflores 222, Piso 14, Codigo Postal 832-0198, Santiago Chile
Phone: (+562) 29407700 Fax: (+562) 29407701
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://listas.nic.cl/pipermail/dns-esp/attachments/20130502/ee0e7c04/attachment.html
Más información sobre la lista de distribución dns-esp