RRSIG beim Stub-Resolver (systemd-resolve)

[Marco Moock]

Hallo zusammen!

Ich bin gerade dabei, mich in DNSSEC einzulesen und damit zu spielen.

Dabei ist mir aufgefallen, dass ein Stub-Resolver (hier
systemd-resolve) nicht auf RRSIG-Queries antwortet. Der eigentliche
Resolver schon. Mir ist das Prozedere von DNSSEC bekannt (Resolver
macht die Validierung, Stub-Resolver vertraut diesem).
Dennoch würde mich interessieren, warum systemd-resolve nicht auf RRSIG-
und DNSKEY-Queries antwortet.

--
Gruß
Marco

[Marc Haber]

Vielleicht ist systemd-resolved der Meinung, dass den Client sowas
nicht zu interessieren hat: "Wenn Du meinem validierten NXDOMAIN nicht
glaubst, dann frag doch die autoritativen Server selbst".

Ist das vielleicht in einem der DNSSEC-RFCs sogar so spezifiziert?

Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834

[Bastian Blank]

Marco Moock wrote:
> Dabei ist mir aufgefallen, dass ein Stub-Resolver (hier
> systemd-resolve) nicht auf RRSIG-Queries antwortet. Der eigentliche
> Resolver schon. Mir ist das Prozedere von DNSSEC bekannt (Resolver
> macht die Validierung, Stub-Resolver vertraut diesem).
> Dennoch würde mich interessieren, warum systemd-resolve nicht auf RRSIG-
> und DNSKEY-Queries antwortet.

Hast du DNSSEC-Support explizit angestellt? Der Stub-Resolver ist leider
nicht der beste Resolver. Und nein, er vertraut dem Resolver an der
Stelle _nicht_.

Bastian

[Marco Moock]

Am 27.04.2023 schrieb Bastian Blank <use...@waldi.eu.org>:

> Marco Moock wrote:
> > Dabei ist mir aufgefallen, dass ein Stub-Resolver (hier
> > systemd-resolve) nicht auf RRSIG-Queries antwortet. Der eigentliche
> > Resolver schon. Mir ist das Prozedere von DNSSEC bekannt (Resolver
> > macht die Validierung, Stub-Resolver vertraut diesem).
> > Dennoch würde mich interessieren, warum systemd-resolve nicht auf
> > RRSIG- und DNSKEY-Queries antwortet.
>
> Hast du DNSSEC-Support explizit angestellt?

In Debian ist der standardmäßig abgestellt.
#DNSSEC=no

Es kommt ein FORMERR, egal ob das auf no oder yes steht.
Der genutzte DNS-Resovler (BIND9) validiert DNSSEC und antwortet auf
RRSIG-Queries.

[Florian Weimer]

* Marco Moock:

RRSIG-Abfragen tauchen im Normalbetrieb nicht auf und haben ähnliche
Probleme wie ANY-Abfragen. Möglicherweise filtert der rekursive
Resolver, den resolved verwendet, diese Abfragen, und Du siehst das
Ergebnis davon. Oder vielleicht hat resolved einfach einen Bug.

[Marco Moock]

Eher Letzteres, denn mein Resolver liefert mir diese Antworten.
systemd-resolve gibt nen FORMER, mit und ohne aktives edns.