DNS Запис із позначкою https: //

Нещодавно я вперше зустріла запис форми A:

https://www.example.com.    <TTL>   IN  A   <IP address>

Наскільки мені відомо, цей запис є навмисним (тобто не є помилкою). Я знаю, що двокрапка та косої риски є дійсними символами для етикетки за RFC 2181 , але я не розумію призначення запису. Чи використовує деякий орган сертифікації цю форму для перевірки контролю домену? Чи захищає ця форма від якогось виду експлуатації? Захопити якусь помилку користувача чи відому проблему із програмним забезпеченням?

domain-name-system a-record

— Бінкі
джерело

Чи відрізняється IP-адреса від тієї, що відповідає www.example.com? Що змушує вас вважати це навмисно, а не помилкою?

— jcaron

Причина, за якою я підозрюю, що цей запис не неправильно налаштована, полягає в тому, що організація, що контролює ці записи, - це велика корпорація з великою присутністю в Інтернеті, чиї записи DNS я б очікував зазнати значного контролю. Але я цілком здатний повірити, що ці записи A є помилкою. Я буду копатись (не каламбур) у цьому питанні далі та опублікую оновлення, якщо визначу причину записів.

— Бінкі

Якщо хтось має обліковий запис DNSDB Farsight або подібний сервіс, і хотів би запитати повний простір DNS для інших записів A, що мають "https: //", це було б дуже здорово. :)

— Бінкі

Зображення IP-адреси запису A https://www.example.comвідрізняється від відображення IP-адреси для www.example.com. Колишні карти адрес (декілька записів A) у неттолоку / 16, що належить "example.com" за ARIN whois. Останній відображається на CNAME у домені головного постачальника CDN. Ланцюжок CNAME в кінцевому рахунку відображає IP-адресу в мережі постачальника CDN

— Binky

@Binky: Це не вагомий привід підозрювати, що він не налаштований. Некомпетентність у великих корпораціях надзвичайно поширена.

— Р ..

Відповіді:

Найімовірніше пояснення - користувач, незнайомий з DNS, намагався налаштувати записи DNS і допустив помилку, очевидно, очевидною для всіх, хто знайомий з DNS, але не для людей, які цього не роблять.

У той час як мітка DNS може бути будь-який двійкові дані довільному зазвичай , ви повинні прочитати решту розділу 11, зокрема:

Зауважте, що різні програми, які використовують дані DNS, можуть мати обмеження щодо конкретних значень, прийнятних у їхньому середовищі. Наприклад, те, що будь-яка двійкова мітка може мати запис MX, не означає, що будь-яке двійкове ім'я може використовуватися як головна частина адреси електронної пошти. Клієнти DNS можуть накладати будь-які обмеження, що відповідають їхнім обставинам, на значення, які вони використовують як ключі для запитів пошуку DNS, та на значення, повернені DNS. Якщо у клієнта є такі обмеження, він несе виключну відповідальність за перевірку даних з DNS, щоб гарантувати їх відповідність перед тим, як використовувати ці дані.

Крім усього іншого, це означає, що синтаксис мітки може бути обмежений залежно від типу RR. Як зазначено в розділі 2.1 RFC 1123 та RFC 952, імена хостів в Інтернеті мають такий обмежений синтаксис, у якому двокрапка та коса риса недійсні.

— Майкл Хемптон
джерело

Це неправильно для стандартної адреси, але можливо, хтось використовує DNS як позадіапазонний комунікаційний пристрій.

Не важко уявити, що потрібно передавати дані через DNS, а не через "звичайні" канали.

— djsmiley2k - корова
джерело

Не могли б ви йти вперед і уявляти нас? Оскільки саме ця відповідь насправді не говорить про те, що може статися - просто той, хто відповідає, вважає це логічним.

— Сайбогу

можливо, хтось використовує DNS як пристрій зв'язку поза діапазоном. @ djsmiley2k Я не згадував про таку можливість у своєму початковому дописі, оскільки організація, що контролює ці записи A, - це корпорація із суттєвими вимогами щодо безпеки / дотримання. Якщо ці записи не є позадіапазонним механізмом доступу, було б малоймовірним, і якби записи були злом OOB, то наслідки були б ... страшними.

— Бінкі

@Blinky досить чесно, в цьому випадку це малоймовірно, але це можливо в інших.

— djsmiley2k - CoW

Це, безумовно, можлива річ, але бічні канали DNS зазвичай виконуються з текстом у TXT-записі, а не в самому імені хоста. Додатково "https: //" виглядає як помилка, а не текст із зашифрованим текстом.

— Criggie