Modifiche al comportamento DNS


Modifiche ai server di nomi .com/.net/.edu in preparazione per le specifiche DNSSEC

Il 1° marzo 2010 Verisign ha apportato due modifiche riguardanti il comportamento dei server di nomi autoritativi per le zone .com, .net ed .edu ([a-m].gtld-servers.net). Le modifiche sono un prerequisito per la distribuzione delle specifiche DNSSEC in queste tre zone. Le due modifiche sono le seguenti:
Nuovo comportamento di riferimento e Mancata promozione a stato autoritativo per un glue record.

Nuovo comportamento di riferimento 

In passato, se veniva loro richiesto un record A o AAAA da utilizzare come "glue" (un record di indirizzo nei record NS o sotto di essi in un punto di delega), i server di nomi autoritativi per i domini .com e .net replicavano con il glue record nella sezione delle risposte. Tuttavia, la risposta non veniva contrassegnata come autoritativa, ossia mancava la porzione AA. Sebbene questo comportamento si uniformasse agli standard DNS, i server autoritativi recenti non rispondevano in tal modo, bensì, se veniva loro richiesto un nome in un punto di delega o al di sotto di esso, rispondevano con un riferimento alla zona delegata. Tale comportamento era supportato anche dagli standard DNS.

Oggi i server [a-m].gtld-servers.net hanno adottato questo comportamento di riferimento: le query relative ai glue record si traducono in riferimenti anziché in risposte non autoritative.

È interessante notare che tale variazione influisce sulla risoluzione di determinati domini nell'ambito dei nomi .com e .net che sono interdipendenti. Ad esempio, in passato la seguente configurazione delle zone interdipendenti "example.com" e "example.net" risultava corretta:

example.com. NS ns1.example.net.
example.com. NS ns2.example.net.

example.net. NS ns1.example.com.
example.net. NS ns2.example.com.

Questi due domini erano configurati in un "ciclo": tutti i server example.com figurano nel dominio example.net e tutti i server example.net si trovano nel dominio example.com. Una tale configurazione ciclica era risolutiva, poiché i server [a-m].gtld-servers.net erano autoritativi sia per la zona .com che per la zona .net e perché i server restituivano query relative ai glue record come risposte non autoritative, come descritto in precedenza.

Per illustrare nei dettagli il motivo del buon funzionamento della suddetta configurazione, consideriamo i passaggi che un resolver (la porzione di un server di nome ricorsivo che invia le query) iterativo seguirebbe per risolvere i dati in "www.example.com":

  • Il resolver iterativo richiede "www.example.com" a un server di nome autoritativo .com e riceve un riferimento a "example.com" che elenca solamente i server di nomi in "example.net".
  • Anche se il riferimento contiene i record A per "ns1.example.net" e "ns2.example.net" nella sezione aggiuntiva del messaggio DNS, i moderni resolver iterativi ignorano questi record come misura difensiva contro l'avvelenamento della cache.
  • Dopo aver scartato i record A per "ns1.example.net" e "ns2.example.net", il resolver iterativo dispone dei nomi ma non degli indirizzi per qualsiasi server di nomi "example.com". Deve quindi sospendere temporaneamente la query relativa a "www.example.com" per cercare l'indirizzo di uno dei server di nomi "example.com". Supponiamo che scelga di risolvere "ns1.example.net".
  • Alla fine, il resolver iterativo richiede i record A per "ns1.example.net" a un server di nome autoritativo .net. Grazie al comportamento di riferimento corrente di [a-m].gtld-servers.net, il server .net restituisce una risposta non autoritativa riguardo al record A per "ns1.example.net". Il resolver iterativo utilizza questo indirizzo per contattare il server di nomi "example.com" e risolvere "www.example.com".

Tuttavia, dal 1° marzo 2010 il server .net non restituisce il record A per "ns1.example.net", ma invia un riferimento a "example.net". Ricordiamo però che tutti i server di nomi "example.net" si trovano nel dominio "example.com". Pertanto, il resolver iterativo tenta ora di risolvere "ns1.example.net" solamente per risolvere la query iniziale "www.example.com", anch'essa nel dominio "example.com", ovviamente. In questo modo, con ciascun dominio che dipende dall'altro, la risoluzione non può più avere luogo.

Verisign ha creato due elenchi di domini .com e .net che possono essere interessati da questa modifica:

Elenco 1: Domini partecipanti ai cicli

I domini presenti in questo elenco sono interdipendenti come sopra descritto. Ad esempio, considerato lo scenario illustrato in precedenza, sia "example.com" che "example.net" figurerebbero nell'elenco 1.

Elenco 2: Domini dipendenti esclusivamente dai domini partecipanti ai cicli

I domini presenti in questo elenco non sono parte attiva di un ciclo, a differenza di quelli dell'elenco 1. Tutti i domini dell'elenco 2 utilizzano esclusivamente server di nomi provenienti da domini che partecipano a un ciclo. In altri termini, un dominio presente nell'elenco 2 prende tutti i suoi server di nomi da uno o più domini presenti nell'elenco 1. Sulla falsariga dell'esempio di cui sopra, se il dominio"foo.com" avesse server di nomi "ns1.example.com" e"ns2.example.com", "foo.com" apparirebbe nell'elenco 2.

Se un dominio figura in uno dei due elenchi, la modifica del 1° marzo prevede che almeno uno dei relativi server di nomi venga cambiato, al fine di interrompere il ciclo (per i domini dell'elenco 1) oppure di eliminare la dipendenza del dominio da un ciclo (per i domini dell'elenco 2).

Torna all'inizio

Mancata promozione a stato autoritativo per un glue record 

Nel sistema di registro .com/.net è possibile bloccare un dominio per quanto concerne il relativo stato amministrativo. Un dominio bloccato non viene pubblicato: i record DNS che lo delegano vengono rimossi dalla zona .com o .net. Ad esempio, le società di registrazione talvolta bloccano un dominio se sta per scadere ma il registrante non ha risposto alle richieste di rinnovo, oppure se viene utilizzato per attività fraudolente.

Prima della modifica, quando un dominio veniva bloccato, i record NS venivano rimossi dalla zona ma non veniva eliminato nessuno dei record A e AAAA dei server di nomi in quel dominio. Per esempio, occorre considerare se nel registro esisteva il dominio "example.com" insieme al server di nomi "ns.example.com". Da notare che, ai fini del comportamento qui descritto, non importa se la zona "example.com" utilizzi o meno "ns.example.com" come uno dei propri server di nomi autoritativi. L'importante è che "ns.example.com" si trovi nel dominio "example.com", ovvero al di sotto di esso nello spazio dei nomi DNS.

In passato, se il dominio "example.com" veniva bloccato, i record NS che lo delegavano venivano rimossi dalla zona .com. I record A e AAAA per "ns.example.com" rimanevano tuttavia nella zona. Dal momento che i record non si trovavano più sotto un punto di delega, venivano promossi a dati autoritativi.

A partire dal 1° marzo 2010, quando un dominio viene bloccato, i record NS che lo delegano vengono rimossi dalla zona e i record A e AAAA per i server di nomi al di sotto del dominio non vengono più promossi ad autoritativi. In realtà, i record A e AAAA non vengono rimossi: benché non vengano restituiti quando richiesti direttamente, compaiono nella sezione aggiuntiva dei riferimenti a loro associati.

Nell'esempio precedente, se "example.com" venisse bloccato, i relativi record NS verrebbero rimossi dalla zona. Ma se il dominio "example.net" utilizza "ns.example.com" come server di nomi, una risposta di riferimento a "example.net" conterrà i record A e AAAA per "ns.example.com" nella sezione aggiuntiva.

Per eventuali domande sulle modifiche in questione, rivolgersi al gruppo addetto al Supporto clienti per il registro di Verisign.

Torna all'inizio


PER SAPERNE DI PIÙ

  • +1-703-948-3200