[lacnog] Google Open Resolvers activan DNSSEC por default?

Arturo Servin aservin en lacnic.net
Jue Mayo 2 11:56:39 BRT 2013


	Estaba leyendo en nanog sobre esto. En Marzo Google activo en sus
open-resolvers dnssec pero solo "opt-in" pero ahora parece que es por
default. Aquí mis pruebas y parece que si.


Este debe fallar y responder servfail porque es un dominio mal firmado a
propósito.

dig A @8.8.8.8 www.dnssec-failed.org

; <<>> DiG 9.8.3-P1 <<>> A @8.8.8.8 www.dnssec-failed.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 62928
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dnssec-failed.org.		IN	A

;; Query time: 226 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu May  2 11:42:18 2013
;; MSG SIZE  rcvd: 39

Con la bandera para que ignore la validacion dnssec, resuelve.

dig A @8.8.8.8 www.dnssec-failed.org +cd
; <<>> DiG 9.8.3-P1 <<>> A @8.8.8.8 www.dnssec-failed.org +cd
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27748
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dnssec-failed.org.		IN	A

;; ANSWER SECTION:
www.dnssec-failed.org.	7200	IN	A	69.252.216.215
www.dnssec-failed.org.	7200	IN	A	69.252.208.135

;; Query time: 191 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu May  2 11:42:23 2013
;; MSG SIZE  rcvd: 71

	También probe poniendo como mi resolver a los servidores de Google y la
pagina de www.dnssec-failed.org me retorna un error del browser que no
la puede alcanzar.

	Alguien con problemas o funcionando bien? Alguien con información de
Google?

Slds
as



Más información sobre la lista de distribución LACNOG