2013/5/2 Arturo Servin <aservin@lacnic.net>

Estaba leyendo en nanog sobre esto. En Marzo Google activo en sus
open-resolvers dnssec pero solo "opt-in" pero ahora parece que es por
default. Aquí mis pruebas y parece que si.

Este debe fallar y responder servfail porque es un dominio mal firmado a
propósito.

dig A @8.8.8.8 www.dnssec-failed.org

; <<>> DiG 9.8.3-P1 <<>> A @8.8.8.8 www.dnssec-failed.org
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 62928
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dnssec-failed.org. IN A

;; Query time: 226 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu May 2 11:42:18 2013
;; MSG SIZE rcvd: 39

Con la bandera para que ignore la validacion dnssec, resuelve.

dig A @8.8.8.8 www.dnssec-failed.org +cd
; <<>> DiG 9.8.3-P1 <<>> A @8.8.8.8 www.dnssec-failed.org +cd
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 27748
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.dnssec-failed.org. IN A

;; ANSWER SECTION:
www.dnssec-failed.org. 7200 IN A 69.252.216.215
www.dnssec-failed.org. 7200 IN A 69.252.208.135

;; Query time: 191 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Thu May 2 11:42:23 2013
;; MSG SIZE rcvd: 71

También probe poniendo como mi resolver a los servidores de Google y la
pagina de www.dnssec-failed.org me retorna un error del browser que no
la puede alcanzar.

Alguien con problemas o funcionando bien? Alguien con información de
Google?

Slds
as
_______________________________________________
dns-esp mailing list
dns-esp@listas.nic.cl
https://listas.nic.cl/mailman/listinfo/dns-esp

--
Eduardo Kaftanski
eduardo@kdi.cl
ekaftan@gmail.com