Estaba leyendo en nanog sobre esto. En Marzo Google activo en sus
open-resolvers dnssec pero solo "opt-in" pero ahora parece que es por default. Aquí mis pruebas y parece que si.
Este debe fallar y responder servfail porque es un dominio mal firmado a propósito.
dig A @8.8.8.8 www.dnssec-failed.org
; <<>> DiG 9.8.3-P1 <<>> A @8.8.8.8 www.dnssec-failed.org ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 62928 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION: ;www.dnssec-failed.org. IN A
;; Query time: 226 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Thu May 2 11:42:18 2013 ;; MSG SIZE rcvd: 39
Con la bandera para que ignore la validacion dnssec, resuelve.
dig A @8.8.8.8 www.dnssec-failed.org +cd ; <<>> DiG 9.8.3-P1 <<>> A @8.8.8.8 www.dnssec-failed.org +cd ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27748 ;; flags: qr rd ra cd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION: ;www.dnssec-failed.org. IN A
;; ANSWER SECTION: www.dnssec-failed.org. 7200 IN A 69.252.216.215 www.dnssec-failed.org. 7200 IN A 69.252.208.135
;; Query time: 191 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Thu May 2 11:42:23 2013 ;; MSG SIZE rcvd: 71
También probe poniendo como mi resolver a los servidores de Google y la
pagina de www.dnssec-failed.org me retorna un error del browser que no la puede alcanzar.
Alguien con problemas o funcionando bien? Alguien con información de
Google?
Slds as