Il DNS consente a terzi di registrare sottodomini?

19

Ho una di quelle domande che si basano sui set di regole per la ricerca DNS.

Diciamo che Person A possiede il sito https://www.example.com . Una persona diversa, Person B, non associata ad A, tenta di registrare https://sub.example.com con il registro locale. Il registro lo permetterà? O c'è una comprensione implicita che questi nomi di dominio sono collegati e non possono essere ottenuti da terze parti?

Il motivo per cui chiedo è che il mio universitario https://www.sydney.edu.au mi ha inviato un link in una email creata da [email protected] e questo link mi indirizza a https://canvas.sydney.edu.au/ .

Questo mi sembra cattivo. Ma forse le regole DNS ammettono solo https://www.sydney.edu.au avere il dominio associato https://canvas.sydney.edu.au .

Altrimenti, se qualcuno (ad esempio una persona cattiva) può registrare https://badsite.sydney.edu.au e DNS lo lascia passare ... allora c'è un buco nel mondo DNS che è fatto per cattiveria.

    
posta Tony Barry 17.09.2018 - 08:41
fonte

5 risposte

27

Benvenuto in Sicurezza!

Il caso di titoli educativi / governativi è un caso particolare di sottodominio. Fondamentalmente, l'ICANN, che governa i toponimi di Internet, ha delegato il controllo del .au TLD al governo australiano (per renderlo semplicemente semplice). Ma poiché .edu e .gov (et similia) sono di proprietà degli Stati Uniti per motivi storici , l'Australia, come altri paesi, non ha avuto altra scelta che gestire il proprio sottodominio educativo dedicato in .au . Altri esempi sono .gov.uk , .gov.it ecc. Che hanno fatto scelte simili.

Se utilizzi lo strumento whois di Linux puoi trovare informazioni interessanti. Ho riassunto la sua uscita

:~> whois au
% IANA WHOIS server
% for more information on IANA, visit http://www.iana.org
% This query returned 1 object

domain:       AU

organisation: .au Domain Administration (auDA)
address:      Lv 17
address:      1 Collins St
address:      Melbourne VIC 3000
address:      Australia


:~> whois edu.au
Domain Name: EDU.AU
Registry Domain ID: D407400000002449554-AU
Registrar WHOIS Server: whois.auda.ltd
Registrar URL: http://www.afilias.com.au
Last Modified:
Registrar Name: Afilias Australia Pty Ltd

:~> whois sydney.edu.au
Domain Name: SYDNEY.EDU.AU
Registry Domain ID: D407400000000057080-AU
Registrar WHOIS Server: whois.auda.org.au
Registrar URL: https://www.domainname.edu.au
Last Modified: 2018-07-17T00:59:06Z
Registrar Name: EDUCATION SERVICES AUSTRALIA LIMITED

Ogni soggetto della catena è responsabile di consentire alle parti di registrare sottodomini. Ad esempio, se il tuo dipartimento di Scienze vuole registrare un sottodominio, deve chiedere Education Services Australia .

Esperimento: prova a registrare usrlocalechelon.edu.au su GoDaddy: non sono autorizzati a venderti

Esperimento 2: il link mi offre di registrare usrlocalechelon.edu.au per 41 AUD. A mio parere, sembra troppo pubblico perché potresti rivendicarti di essere un'istituzione educativa in Australia se puoi semplicemente pagare per un dominio .edu.au .

Commento: il sito mostra una fase di registrazione "Dettagli di idoneità", dove probabilmente non potrò registrare un dominio educativo australiano perché non ho l'autorizzazione per registrarmi in eu. Non mi sono preoccupato di provare a spingere il wizard in avanti.

Esperimento 3 (che risponde alla domanda di sicurezza)

Il collegamento non NON mi consente di registrare usrlocalechelon.sydney.edu.au perché

Requires applicant to have national interests and resposibilities or be recognized and delivering services in more than one state or territory

Riassumendo

Non puoi mai presentare domanda per il tuo sottodominio secondario preferito presso un registrar pubblico, poiché i motivi tecnici richiedono di passare attraverso il proprietario del dominio level-minus-one. Il DNS è gerarchico.

Tuttavia, se l'organizzazione possiede il tuo dominio di terzo o quarto livello (come sydney.edu.au nell'esempio) presenta difetti nelle applicazioni di dominio di filtro, è il loro problema organizzativo e non è un difetto il sistema DNS.

    
risposta data 17.09.2018 - 12:20
fonte
30

Risposta breve: No , terze parti non possono registrare un sottodominio senza autorizzazione dal proprietario del dominio.

DNS è un sistema gerarchico, ordinato da destra a sinistra nel nome host. Chiunque abbia un determinato nome di dominio registrato controlla i server dei nomi autorevoli per quel dominio. Ciò significa che tutte le query (che non ricevono risposta dalla cache) per quel dominio o uno dei suoi sottodomini saranno indirizzate ai server DNS di quell'organizzazione, dando loro il pieno controllo su tutti i sottodomini. Possono, naturalmente, scegliere di delegare questo controllo a qualcun altro, se lo desiderano.

Ad esempio, se dovessi registrare reirab.com, se qualcuno interroga subdomain.reirab.com (e non è coinvolta la cache), ciò che accadrebbe è questo:

Il loro server DNS chiederà prima i root server per il primo dominio da destra, ovvero com. Verrà restituito un DNS record NS indicando loro il server dei nomi autorevole per com.

Il loro server DNS invierà quindi una richiesta al server dei nomi autorevole che ha scoperto dalla precedente richiesta di reirab.com. Avrebbe di nuovo ottenuto una risposta al record NS dicendogli il server dei nomi autorevole per reirab.com.

Il loro server DNS ora invierà una richiesta al server dei nomi autorevole di reirab.com per subdomain.reirab.com. Dal momento che vorrei possedere reirab.com, avrei il pieno controllo su questo server dei nomi autorevole. Potrebbe essere un server che io stesso possiedo o uno che è ospitato da una terza parte per mio conto. Gli unici sottodomini che potrebbero essere restituiti (in modo autorevole) per questo dominio sono quelli che io stesso ho creato per i record su quel server dei nomi autorevole. L'unico modo per qualcun altro di registrare un sottodominio di reirab.com sarebbe quindi per loro di chiedermi di configurarlo per loro , dal momento che possiedo il server dei nomi autorevoli per reirab.com e tutte le richieste per i suoi sottodomini sarebbe incanalato attraverso il mio server.

Se volessi delegare il controllo di alcuni sottodomini a qualcun altro, lo farei esattamente nello stesso modo in cui il mio registrar ha delegato a me il controllo di reirab.com: con un record NS. Aggiungendo un record NS per subdomain.reirab.com al server dei nomi autorevole di reirab.com, posso autorevolmente indirizzare richieste per subdomain.reirab.com e qualsiasi dei suoi sottodomini al server dei nomi elencato in quel record NS, che verrebbe controllato da l'organizzazione a cui ho delegato il controllo di tale sottodominio. Potrei revocare questa delega in qualsiasi momento rimuovendo o alterando quel record NS.

A proposito, "www" non è trattato in modo particolare da DNS. È solo un altro nome host nel server DNS autorevole del suo dominio. È solo per convenzione che inseriamo il record host (A o AAAA) per il server Web dell'organizzazione in quel luogo. Il record A per www.exampledomain.com e somethingelse.exampledomain.com sono entrambi probabilmente sullo stesso server: il server DNS di exampledomain.com.

Nota: questa risposta ha intenzionalmente semplificato un po 'le cose nel caso in cui qualcuno richieda un record DNS da Internet. Se una richiesta per un dominio proviene dall'organizzazione del dominio, la richiesta verrà probabilmente risolta direttamente dai server dei nomi dell'organizzazione senza risalire la catena a root-servers.net, ai name server del TLD, ecc. In questo caso, un host il nome potrebbe potenzialmente risolversi in qualcosa di diverso da ciò che sarebbe risolto da Internet, se l'organizzazione lo sceglie.

    
risposta data 17.09.2018 - 13:40
fonte
19

I registrar DNS si preoccupano solo della registrazione del dominio principale, ovvero example.com . A loro non interessa alcun sottodominio come www.example.com o www.math.example.com e simili. Questi hanno il pieno controllo dell'organizzazione proprietaria del dominio principale, che potrebbe anche decidere di delegare il controllo su questi domini o alcuni di questi domini ad altre parti.

Si noti che un dominio principale non è necessariamente domain.toplevel ma è domain.publicsuffix dove publicsuffix può essere cose come com ma anche co.uk . Per ulteriori informazioni su questi vedi publicsuffix.org .

    
risposta data 17.09.2018 - 09:02
fonte
2

Will the registry allow this? Or is there an implicit understanding that these domain names are linked, and can't be obtained by third parties?

C'è nessun motivo tecnico non è stato possibile farlo, tuttavia *. I record DNS sono gestiti centralmente dai server dei nomi e i record possono indicare e indicare in che modo. La natura base del testo dei record DNS richiede che sia così liberale. In effetti, questo è il motivo per cui lo spoofing e l'uomo nel controllo centrale dei server DNS sono un problema.

Detto questo, ci sono regole che i registri dei nomi di dominio seguono attraverso gli obblighi contrattuali. Rompere queste regole, permettendo ad altri di registrare sottodomini su un determinato dominio senza il permesso del "proprietario" (leasee) del dominio, rischierebbe un contratto molto redditizio con il detentore del dominio di primo livello o ICANN. Quindi la comprensione implicita che rende difficile ottenere un sottodominio sul dominio di qualcun altro è semplicemente l'interesse personale finanziario del registrar.

Per contrastare questa situazione, sono importanti altre tecniche come la firma di siti con firma SSL, i certificati di root attendibili o DNSSEC (estensioni di sicurezza DNS). * DNSSEC è il piano attuale per combattere le vulnerabilità nella risoluzione DNS, attraverso la crittografia end-to-end e la convalida delle richieste DNS.

    
risposta data 19.09.2018 - 01:26
fonte
0

Possiedo un dominio, diciamo "xyz.eu". Questo è stato registrato al DNS da un fornitore, e io li pago una quota annuale (7 € per il nome e 10 € per l'hosting più economico).

Con un semplice webtool presso il mio provider di hosting posso creare qualsiasi sottodominio che mi piace. Alcuni sono predefiniti: www.xyz.eu, smtp, mail, imap. Non ho bisogno del permesso di nessuno e non pago nulla in più per i sottodomini. Nessun altro può creare sottodomini sotto il mio dominio, solo attraverso me. Lo stesso vale per le cassette postali, come [email protected], solo io posso crearle.

La maggior parte dei dati è ospitata dal mio provider, fino a 10 GB. Con l'aiuto di DDNS e alcune configurazioni del provider posso anche fare un punto di sottodominio a un server nella mia casa, ad es. home.xyz.eu. Questo server è solo un'unità flash da 32 GB inserita nel router, potrebbe servire file multimediali di grandi dimensioni.

    
risposta data 19.09.2018 - 09:05
fonte

Leggi altre domande sui tag