服务器 Gind.cn
  1. 服务器 Gind.cn
  3. DNSSEC NSEC3select退出
Intereting Posts
虚拟传真调制解调器+传真服务+查看传真的控制台 如何停止在SQL Server 2008中日志文件的增长? Apache不会改变监听端口 Linux在启动时添加一个不好的路由? configurationDHCP服务器为同一VLAN上的多个子网提供服务 监视生产服务器的最佳方式是什么? 如何在2008R2上查看安装点驱动器的大小? 如何提供特殊字符的HTTP文件名? 如何重新启动/清除memcache而不重新启动整个Web服务器? SQL数据恢复和合并 LLDP消息转发 CHMOD文件夹的权限 权限问题在Munin 系统日志到IPFIX apache2反向代理2虚拟主机&ssl

DNSSEC NSEC3select退出

有人可以用简单的语言解释NSEC3 RR中退出标志的含义吗? 我没有读RFC 5155 ,什么也不懂。

NSEC3logging可以通过两种不同的方式创build:用于所有代表团,或仅用于安全授权。 退出标志告诉你哪个方法正在使用。 国旗的原因是允许主要由代表团(即TLD)组成的非常大的区域不必为每个代表团生成NSEC3logging及其对应的RRSIGlogging。 这是一个像.com这样的顶级域名,拥有约100,000,000个代表团; 签署每一个代表团将使一个非常巨大的区域文件!

select退出位设置与否时,安全委托之间没有区别。

对于未设置退出位的不安全委托,您可以获得委派NSlogging以及该委派的NSEC3和RRSIG。 下面是house.gov的一个例子,它是.gov区域中不安全的委托(不提供DSlogging),它不使用退出位: 

;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9019 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 3 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1472 ;; QUESTION SECTION: ;www.house.gov. IN A ;; AUTHORITY SECTION: house.gov. 86400 IN NS chyron.house.gov. house.gov. 86400 IN NS mercury.house.gov. 56j5jp60kq681hl5vtv287p7s16spmcp.gov. 86400 IN NSEC3 1 0 8 4C44934802D3 56K48N2V1IV9H7F4HJ05N62QI9C29JV2 NS 56j5jp60kq681hl5vtv287p7s16spmcp.gov. 86400 IN RRSIG NSEC3 7 2 86400 20120516040019 20120511040019 35464 gov. OlOx3rG7ShAptVt1XTqcXLOtInxEqyfg1b6+vBlWiqSBZ8pkfk/IOFOm 49lbKkrjY2ibw98GaMdjUYCUUDKOX+eTe+HTfxginIfJ3FWOxB+TPFn1 /UEu4QAgEkWdgpT6NbCge9vWnhSxTCYNxTolVuhWq+sp59zodbAMERVi rIdFyoNpX1zijU1tjm9j8a+jFeN7tjf2fgzJQPpk/qNMgmgfp2GerPUX 5kVkhjoXPgRkLmy2W5PwbgWP4zOTRFuLxz0PsRfoqLUHYYEXPMQ0jimW ESl1LDRnHjdQDTD1qYPBCiVNxufaewZMGhTwP901CH3FLr6Gku7ptYkD 5ukEFQ==

如果我们计算NSEC3散列给出了一个4C44934802D3的盐和8个额外的迭代,由于NSEC3logging是为每个代表生成的,因此它是完全匹配的: 

 $ nsec3.py -i 8 -s 4C44934802D3 house.gov 56J5JP60KQ681HL5VTV287P7S16SPMCP house.gov

对于select退出位设置不安全的委托,您将不会获得提供该域可用资源loggingtypes列表的NSEC3logging。 相反,如RFC 5155第7.2.1节所述,您可以得到一个“最接近的shellcertificate”:

此示例是.com区域内的不安全委派,它使用退出标志: 

 ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48336 ;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 9, ADDITIONAL: 6 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 512 ;; QUESTION SECTION: ;www.yahoo.com. IN A ;; AUTHORITY SECTION: yahoo.com. 172800 IN NS ns1.yahoo.com. yahoo.com. 172800 IN NS ns5.yahoo.com. yahoo.com. 172800 IN NS ns2.yahoo.com. yahoo.com. 172800 IN NS ns3.yahoo.com. yahoo.com. 172800 IN NS ns4.yahoo.com. CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0RFQAOES8CTVNVNH4G6Q85NOQAQ8I9 NS SOA RRSIG DNSKEY NSEC3PARAM CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20120515041703 20120508030703 23339 com. RiL6MRN/fPVBjpyANDKurwSgdwgkdsRdB4ADWK7YTJeY2KNnBpjOX+FT +2a/XZR2ylP+G47L8k+DrJCHuAkr1wOYcOj7goiqErDwu+Cm5HZosAL2 EyRqNOHHgTDXlG6PGgyEe2DO0jWgmkyYX7+o0jpYP0m6QNDaRuf166np nkA= GP1945PGQIOH4O61BM3RUL2EVN04SPIA.com. 86400 IN NSEC3 1 1 0 - GPLVOUV0V27L8DPOOBNLQU1VHFRMMPUT NS DS RRSIG GP1945PGQIOH4O61BM3RUL2EVN04SPIA.com. 86400 IN RRSIG NSEC3 8 2 86400 20120518085726 20120511074726 23339 com. VmtH/BYw8H98FJM7YLxLIG0cfReERp5eNh3+bCu7EfWgSuWXn6OXdd4b rIMloxDXe9v/fdyd7RqwDiNLMPMhp8wRJOhKcqT0MczHFEUzy0SnXM3d SABY5d1AJr8YJNL+ZOgbiT445gn7HBET3OL+G5MfZPti+yhBnUvGlPYx UQ8=

第一个NSEC3logging是针对com域本身的(在RRtypes列表中,它具有SOA,DNSKEY和NSEC3PARAM,这是非常容易的,它是最接近的可certificate的encloser。

第二个NSEC3logging是“覆盖”yahoo.com。 这是为了certificateyahoo.com的NSEC3logging不存在,因为它不是一个安全的委托。

这里是用于比较的计算哈希值: 

 $ nsec3.py com yahoo.com CK0POJMG874LJREF7EFN8430QVIT8BSM com GPIOV963K81D6QM6IOTOUFUAPRDA6K3V yahoo.com

除非您正在运行顶级域名(TLD)区域或者拥有大量代表团的其他区域,否则不需要使用退出标志。