DNS Um registro com https: // no rótulo

19

Encontrei pela primeira vez recentemente um registro A do formulário:

https://www.example.com.    <TTL>   IN  A   <IP address>

Até onde eu sei, esse registro é deliberado (ou seja, não é um erro). Eu sei que os dois pontos e a barra são caracteres válidos para um rótulo, de acordo com a RFC 2181 , mas não entendo o objetivo do registro. Alguma autoridade de certificação usa este formulário para validação de controle de domínio? Esse formulário protege contra algum tipo de exploração? Detectar algum tipo de erro do usuário ou problema conhecido com o software?

Binky
fonte
1
O endereço IP é diferente do endereço www.example.com correspondente? O que faz você pensar que isso é deliberado e não um erro?
jcaron
A razão pela qual suspeito que esse registro A não seja configurado incorretamente é porque a organização que controla esses registros é uma grande corporação com uma grande presença on-line, cujos registros DNS eu esperaria estar sob um escrutínio significativo. Mas sou totalmente capaz de acreditar que esses registros A são um erro. Vou aprofundar (sem trocadilhos) esse problema e postar uma atualização se determinar o motivo dos registros.
Binky
Se alguém tiver uma conta DNSDB da Farsight ou um serviço semelhante e desejar consultar o espaço DNS completo para outros registros A com "https: //", isso seria muito legal. :)
Binky
O mapeamento de endereço IP do registro A https://www.example.comé diferente do mapeamento de endereço IP www.example.com. O primeiro mapeia para endereços (vários registros A) no bloco de rede / 16 pertencente a "example.com" por ARIN whois. O último mapeia para um CNAME no domínio de um grande provedor de CDN. A cadeia CNAME em última instância mapeia para um endereço IP na rede do provedor de CDN
Binky
@Binky: Essa não é uma boa razão para suspeitar que não está configurada incorretamente. Incompetência nas grandes corporações é extremamente comum.
R ..

Respostas:

51

A explicação mais provável é que um usuário não familiarizado com o DNS tentou configurar os registros DNS e cometeu um erro claramente óbvio para qualquer pessoa familiarizada com o DNS, mas não para as pessoas que não o são.

Embora um rótulo DNS possa ser qualquer dado binário arbitrário em geral , você deve ler o restante da seção 11, em particular:

Observe, no entanto, que os vários aplicativos que usam dados DNS podem ter restrições impostas a quais valores específicos são aceitáveis ​​em seu ambiente. Por exemplo, que qualquer etiqueta binária possa ter um registro MX não implica que qualquer nome binário possa ser usado como parte do host de um endereço de email. Os clientes do DNS podem impor quaisquer restrições apropriadas às suas circunstâncias nos valores que eles usam como chaves para solicitações de pesquisa de DNS e nos valores retornados pelo DNS. Se o cliente tiver essas restrições, é o único responsável por validar os dados do DNS para garantir que estejam em conformidade antes de fazer uso desses dados.

Entre outras coisas, isso significa que a sintaxe do rótulo pode ser restringida, dependendo do tipo RR. Conforme especificado na seção 2.1 da RFC 1123 e na RFC 952, os nomes de host da Internet possuem uma sintaxe restrita, na qual os dois pontos e a barra não são válidos.

Michael Hampton
fonte
1

É errado para um endereço padrão, mas é possivelmente alguém que usa o DNS como um dispositivo de comunicação fora de banda.

Não é difícil imaginar ter que passar dados via DNS em vez de através de canais 'normais'.

djsmiley2k - CoW
fonte
1
Você poderia ir em frente e imaginar para nós? Como está, essa resposta não diz realmente o que pode estar acontecendo - apenas que o respondente pensa que é lógico.
Saiboogu 27/11/18
1
possivelmente alguém usando o DNS como um dispositivo de comunicação fora da banda. @ djsmiley2k Eu não mencionei essa possibilidade no meu post original porque a organização que controla esses registros A é uma empresa com requisitos substanciais de segurança / conformidade. Seria altamente improvável que esses registros fossem um mecanismo de acesso fora de banda e, se os registros fossem um hack OOB, as repercussões seriam ... assustadoras.
Binky
@ Blinky justo o suficiente, é improvável neste caso, mas é uma possibilidade em outros.
djsmiley2k - Cow
Isso certamente é possível, mas os canais do lado do DNS normalmente são feitos com texto em um registro TXT, e não no nome do host. Além disso, "https: //" parece um erro, não um texto criptografado.
Criggie