Что произойдет, если резолвер обнаружит алгоритм DNSSEC, который он не поддерживает?
Отказывается ли он возвращать запрошенную запись или возвращает запись, рассматривая домен как незащищенный?
Что произойдет, если преобразователь обнаружит алгоритм DNSSEC, который он не поддерживает?
DNSSEC позволяет проводить проверку до тех пор, пока существует ОДИН путь проверки. Если резолвер сможет найти хотя бы один поддерживаемый им алгоритм и проверить, что все (подписи и т. д. )в порядке, то проверка DNSSEC пройдет успешно, а неизвестный алгоритм будет проигнорирован.
Конечно, если преобразователь находит только алгоритмы, которые он не поддерживает, и даже не поддерживает, то проверка DNSSEC будет неуспешной, и будет возвращено SERVFAIL.
См. §5.3.1 RFC 4035.:
Более чем одна DNSKEY RR может соответствовать условиям выше. В этом случае валидатор не может заранее определить, какой DNSKEY RR для аутентификации подписи, и он ДОЛЖЕН пробовать каждый соответствие DNSKEY RR до тех пор, пока либо подпись не будет проверена, либо у валидатора закончились соответствующие открытые ключи, чтобы попробовать.
Таким образом, одного хорошего алгоритма достаточно, распознаватель не должен тестировать их все. Хорошо, что есть возможность вводить все новые алгоритмы на стороне публикации, в то время как распознаватели обновляются, чтобы знать о новом алгоритме.
См. также RFC 8626 «Требования к реализации алгоритма и руководство по использованию для DNSSEC» .
Отказывается ли он возвращать запрошенную запись или возвращает запись, рассматривая домен как незащищенный?
DNSSEC обычно является двоичным:домен имеет правильную проверку DNSSEC или находится в ошибке (, следовательноSERVFAIL). Сопоставителю не разрешается удалять DNSSEC из домена в случае сбоя и возвращать записи, как если бы домен не имел DNSSEC с самого начала.
Однако это теория. На практике случается, что рекурсивному распознавателю иногда приходится продолжать отвечать даже для доменов, о которых известно, что DNSSEC нарушен, поскольку считается, что в противном случае это создаст слишком большую нагрузку.См. знаменитый прошлый пример NASA/Comcast. Вот почему сейчас существуют «отрицательные якоря доверия» или NTA:. Это способ для операторов рекурсивных распознавателей сказать, что «домен X нарушен в DNSSEC, игнорировать недоверие и действовать так, как будто DNSSEC нет». Предполагается, что это временная мера, и, очевидно, она локальна для каждого рекурсивного преобразователя.
См. RFC 7646 «Определение и использование отрицательных якорей доверия DNSSEC» (, сентябрь 2015 г.):
Этот документ определяет отрицательные Якоря доверия (NTA), которые можно использовать для смягчения проверки DNSSEC. сбои путем отключения проверки DNSSEC в указанных доменах.
Насколько мне известно, безопасный проверяющий преобразователь должен выдавать ответ об ошибке. Поэтому ожидайте ответа об ошибке SERVFAIL.
При обновлении для поддержки относительно недавнего RFC 8914 появится даже расширенное описание ошибки DNS, например:
Extended DNS Error Code 1 - Unsupported DNSKEY Algorithm
Extended DNS Error Code 2 - Unsupported DS Digest Type