Question:
Le DNS permet-il à des tiers d'enregistrer des sous-domaines?
Tony Barry
2018-09-17 11:41:59 UTC
view on stackexchange narkive permalink

J'ai l'une de ces questions qui reposent sur les ensembles de règles pour la recherche DNS.

Supposons que la personne A possède le site https://www.example.com . Une autre personne, Personne B, non associée à A, tente de s'inscrire https://sub.example.com auprès du registre local. Le registre le permettra-t-il? Ou y a-t-il une compréhension implicite que ces noms de domaine sont liés et ne peuvent pas être obtenus par des tiers?

La raison pour laquelle je pose la question est que mon université https://www.sydney.edu .au m'aurait envoyé un lien dans un e-mail créé par notifications@instructure.com et ce lien me dirige vers https://canvas.sydney.edu.au/ .

Cela me semble mauvais. Mais peut-être que les règles DNS permettent uniquement à https://www.sydney.edu.au d’avoir le domaine associé https://canvas.sydney.edu.au .

Sinon, si une personne (par exemple une mauvaise personne) peut s'inscrire https://badsite.sydney.edu.au et que DNS le laisse passer ... alors il y a un trou dans le monde DNS qui est fait pour la méchanceté.

À proprement parler, vous n'enregistrez pas de sous-domaines, vous enregistrez le * domaine * et _si le bureau d'enregistrement autorise l'enregistrement_, vous pouvez créer des enregistrements DNS pour zéro ou plusieurs sous-domaines qui peuvent pointer vers des ressources sur votre propre hébergement, des fournisseurs tiers,réseaux de diffusion de contenu, etc. Ce sont ces enregistrements DNS qui permettent aux clients (comme un navigateur) de résoudre le sous-domaine en une adresse IP et non en un enregistrement de domaine (ou sous-domaine).Dans un sens simpliste, l'enregistrement de domaine fournit un moyen de diriger le client vers le serveur DNS que vous avez désigné pour le domaine (qui n'a pas besoin d'être votre registraire).
Il est fort probable que `canvas.sydney.edu.au` ait été configuré par votre université pour pointer vers une adresse détenue / contrôlée par Instructure.Il s'agit d'une pratique assez courante parmi les fournisseurs de services, similaire à la façon dont vous pouvez vous inscrire à un service de blog mais utiliser votre propre nom de domaine que vous avez acquis ailleurs
La hiérarchie des domaines exprime en effet la confiance de la manière que vous avez supposée: «exemple.com» est le parent de «www.example.com» et «sub.example.com» (et «any.sub.example.com»)contrôle donc ces domaines ou choisit de déléguer le contrôle librement.L'entité qui fait le plus autorité est le segment le plus à droite du domaine.Ainsi, «sydney.edu.au», qui possède «www.sydney.edu.au», possède également «canvas.sydney.edu.au».
Bien que cela ne réponde pas directement à la question, il peut être utile de savoir que "canvas" est une suite de logiciels de système de gestion de l'apprentissage développé par une société nommée "Instructure".Ceci explique la raison pour laquelle vous avez reçu un e-mail de "Instructure" au sujet d'un site de votre université nommé "Canvas".Je reconnais que c'est une mauvaise pratique d'utiliser ces identifiants obscurs dans les e-mails à un moment où nous essayons d'amener les gens à mieux prêter attention aux signes de phishing
Cinq réponses:
reirab
2018-09-17 16:40:40 UTC
view on stackexchange narkive permalink

Réponse courte: Non , les tiers ne peuvent pas enregistrer un sous-domaine sans l'autorisation du propriétaire du domaine.

Le DNS est un système hiérarchique, commandé auprès de de droite à gauche dans le nom d'hôte. Quiconque a enregistré un nom de domaine donné contrôle les serveurs de noms faisant autorité pour ce domaine. Cela signifie que toutes les requêtes (qui ne sont pas répondues à partir du cache) pour ce domaine ou l'un de ses sous-domaines seront dirigées vers les serveurs DNS de cette organisation, leur donnant un contrôle total sur tous les sous-domaines. Ils peuvent, bien sûr, choisir de déléguer ce contrôle à quelqu'un d'autre s'ils le souhaitent.

Par exemple, si je devais enregistrer reirab.com, si quelqu'un interroge subdomain.reirab.com (et aucun cache n'est impliqués,) ce qui se passerait est le suivant:

Leur serveur DNS demanderait d'abord aux serveurs racine le premier domaine à partir de la droite, c'est-à-dire com. Ils recevraient un enregistrement NS DNS leur indiquant le serveur de noms faisant autorité pour com.

Leur serveur DNS soumettrait alors une requête au serveur de noms faisant autorité com qu'il a découvert à partir du demande précédente pour reirab.com. Il obtiendrait à nouveau une réponse d'enregistrement NS lui indiquant le serveur de noms faisant autorité pour reirab.com.

Leur serveur DNS soumettrait maintenant une demande au serveur de noms faisant autorité de reirab.com pour subdomain.reirab.com. Puisque je posséderais reirab.com, j'aurais un contrôle total sur ce serveur de noms faisant autorité. Ce serait soit un serveur que je possède moi-même, soit un serveur hébergé par un tiers en mon nom. Les seuls sous-domaines qui pourraient éventuellement être retournés (avec autorité) pour ce domaine sont ceux pour lesquels j'ai moi-même créé des enregistrements sur ce serveur de noms faisant autorité. La seule façon pour quelqu'un d'autre d'enregistrer un sous-domaine de reirab.com serait alors qu'il me demande de le configurer pour lui , puisque je possède le serveur de noms faisant autorité pour reirab.com et toutes les demandes car ses sous-domaines seraient acheminés via mon serveur.

Si je voulais déléguer le contrôle d'un sous-domaine à quelqu'un d'autre, je le ferais exactement de la même manière que mon registraire me déléguait le contrôle de reirab.com: avec un enregistrement NS. En ajoutant un enregistrement NS pour subdomain.reirab.com au serveur de noms faisant autorité de reirab.com, je peux diriger les demandes de subdomain.reirab.com et de l'un de ses sous-domaines vers le serveur de noms répertorié dans cet enregistrement NS, qui serait contrôlé par l'organisation à laquelle j'ai délégué le contrôle de ce sous-domaine. Je pourrais révoquer cette délégation à tout moment en supprimant ou en modifiant cet enregistrement NS.

Au fait, «www» n'est pas traité spécialement par DNS. C'est juste un autre nom d'hôte dans le serveur DNS faisant autorité de son domaine. Ce n'est que par convention que nous y mettons l'enregistrement d'hôte (A ou AAAA) du serveur Web de cette organisation. L'enregistrement A pour www.exampledomain.com et somethingelse.exampledomain.com se trouvent probablement tous deux sur le même serveur: le serveur DNS de exampledomain.com.

Remarque: Cette réponse a intentionnellement simplifié un peu les choses dans le cas d'une personne demandant un enregistrement DNS sur Internet. Si une demande de domaine provient de l'organisation du domaine, la demande sera probablement résolue directement par les serveurs de noms de l'organisation sans remonter la chaîne vers root-servers.net, les serveurs de noms du TLD, etc. Dans ce cas, un hôte nom pourrait même potentiellement se résoudre à quelque chose de différent de ce à quoi il résoudrait à partir d'Internet, si l'organisation le souhaite.

À propos de www: Autrefois, il était courant de configurer mail.example.com, ftp.example.com, peut-être gopher.example.com et www.example.com.Depuis lors, tous ceux-ci (et le serveur DNS) résideraient sur le même serveur, l'url http://example.com (sans www) serait honorée.Malheureusement, de nombreux sites de nos jours sont configurés pour ne pas servir example.com sans le préfixe www, ce que j'ai toujours trouvé ennuyeux.
@MartinArgerami Il est encore assez courant pour les serveurs de messagerie d'utiliser quelque chose comme mail.example.com, smtp.example.com, etc., mais, oui, ftp.et gopher.sont tombés en grande partie en désuétude (pour des raisons évidentes.) De nombreuses organisations configurent l'enregistrement A pour que la racine de leur domaine pointe vers la ou les mêmes adresses que www.puis configurez le serveur Web pour écouter les deux et avoir juste une redirection vers l'autre.C'est la manière dont je configure généralement des domaines qui ont des sites Web.
Le fait est également que `CNAME` est utile et que vous pouvez mettre un CNAME sur` www` mais pas au sommet.Par conséquent, vous avez plus de flexibilité à cet égard si votre site Web est nommé «www.example.com» au lieu de «example.com».Au début, le nom identifiait également une machine spécifique, mais cela a disparu depuis longtemps avec l'hébergement virtuel de masse dans le monde Web.
usr-local-ΕΨΗΕΛΩΝ
2018-09-17 15:20:51 UTC
view on stackexchange narkive permalink

Bienvenue dans la sécurité!

Le cas des institutions éducatives / gouvernementales est un cas particulier de sous-domaine. Fondamentalement, l'ICANN, qui régit les principaux noms d'Internet, a délégué la gestion du TLD .au au gouvernement australien (pour simplifier les choses). Mais comme .edu et .gov (et similia) appartiennent aux États-Unis pour des raisons historiques , l'Australie, comme certains autres pays, n'avait pas le choix que de gérer son propre sous-domaine éducatif dédié sous .au . D'autres exemples sont .gov.uk , .gov.it etc. qui ont fait des choix similaires.

Si vous utilisez whois Outil Linux, vous pouvez trouver des informations intéressantes. J'ai résumé sa sortie 

 : ~ > whois au% IANA WHOIS server% pour plus d'informations sur l'IANA, visitez http: //www.iana.org% Cette requête a renvoyé 1 objectdomain: AUorganisation: .au Domain Administration (auDA) address: Lv 17address: 1 Collins Staddress: Melbourne VIC 3000address: Australia: ~ > whois edu.auDomain Name: EDU.AURegistry Domain ID: D407400000002449554-AURegistrar WHOIS Server: whois.auda.ltdRegistrar URL: http : //www.afilias.com.au Dernière modification: Nom du bureau d'enregistrement: Afilias Australia Pty Ltd: ~ > whois sydney.edu.au Nom de domaine: SYDNEY.EDU.AURegistry Domain ID: D407400000000057080-AURegistrar Serveur: whois.auda.org. auRegistrar URL: https: //www.domainname.edu.auDernière modification: 2018-07-17T00: 59: 06ZNom du registraire: EDUCATION SERVICES AUSTRALIA LIMITED

Chaque sujet de la chaîne est responsable de permettant aux parties d'enregistrer des sous-domaines. Par exemple, si votre département scientifique souhaite enregistrer un sous-domaine, il doit se renseigner auprès de Education Services Australia .

Expérience: essayez d'enregistrer usrlocalechelon.edu.au sur GoDaddy: ils ne sont pas autorisés à vous vendre ça

Expérience 2: https://www.domainname.edu.au/ me propose d'enregistrer usrlocalechelon.edu.au pour 41 AUD. Cela semble trop public à mon avis, car vous pourriez prétendre être un établissement d'enseignement en Australie si vous pouvez simplement payer pour un domaine .edu.au .

Commentaire: le site affiche une étape d'enregistrement "Détails d'éligibilité", où il est probable que je ne pourrai pas enregistrer un domaine éducatif australien car je ne suis pas autorisé à m'enregistrer sous eu. Je n'ai pas pris la peine d'essayer de faire avancer l'assistant.

Expérience 3 (qui répond à la question de sécurité)

https://www.domainname.edu.au/ ne me permet PAS de m'inscrire usrlocalechelon.sydney.edu.au car

exige que le candidat ait des intérêts et des responsabilités nationaux ou être reconnu et fournir des services dans plus d'un État ou territoire

Example domain search

Résumé

Vous ne peut jamais demander votre sous-sous-domaine préféré auprès d'un bureau d'enregistrement public, car des raisons techniques vous obligent à passer par le propriétaire du domaine de niveau moins un. Le DNS est hiérarchique.

Mais si l'organisation propriétaire de votre domaine de troisième ou quatrième niveau (comme sydney.edu.au dans l'exemple) a des failles dans le filtrage des applications de domaine, c'est son propre problème d'organisation et n'est pas une faille dans le système DNS.

https://security.stackexchange.com/users/67189/usr-local-ΕΨΗΕΛΩΝ - merci pour cette excellente réponse.Apprécié.
Selon toute vraisemblance, la zone de recherche directe DNS de sydney.edu.au est gérée directement par le département informatique de l'Université de Sydney et ne dispose d'aucune interface Web pour demander des sous-domaines.Ils mettraient simplement en place des sous-domaines si / quand cela était nécessaire pour des raisons universitaires.
L'ICANN ne gère _pas_ le TLD «.au», ni aucun autre ccTLD.Ils ne «gèrent» même pas les gTLD, bien qu'ils contrôlent le contenu de la zone racine, et les gTLD doivent se conformer aux politiques de l'ICANN pour y être répertoriés.
Je dois utiliser l'expression «pousser l'assistant en avant» dans la conversation le plus tôt possible.
Steffen Ullrich
2018-09-17 12:02:42 UTC
view on stackexchange narkive permalink

Les bureaux d'enregistrement DNS ne se soucient que de l'enregistrement du domaine principal, c'est-à-dire example.com . Ils ne se soucient pas des sous-domaines tels que www.example.com ou www.math.example.com et autres. Ceux-ci contrôlent totalement l'organisation qui possède le domaine principal, qui peut également décider de déléguer le contrôle de ces domaines ou de certains de ces domaines à d'autres parties.

Notez qu'un domaine principal n'est pas nécessairement le domain.toplevel mais c'est domain.publicsuffix publicuffix peut être des choses comme com mais aussi co. uk . Pour plus d'informations à ce sujet, consultez publicsuffix.org.

D'accord, mais notez que les bureaux d'enregistrement peuvent exister à n'importe quel niveau.`.COM` est un TLD, géré par VeriSign, qui dispose d'un ensemble de bureaux d'enregistrement.«UK.COM» est un SLD, enregistré par un registraire auprès de VeriSign, mais «UK.COM» est lui-même ouvert aux inscriptions du registre «Centralnic» qui a accrédité son propre ensemble de bureaux d'enregistrement pour enregistrer des noms de domaine sous «UK.COM».Toutes les réponses mélangent deux choses différentes: la nature arborescente du DNS et des enregistrements «NS» qui implémentent la coupure de zone et signalent les limites techniques, et la façon dont chaque niveau est géré administrativement et ouvert ou non à d'autres délégations.
Les choses sont également plus compliquées car chaque point ne signifie pas nécessairement un changement de délégation.Par exemple «gouv.fr» n'est pas une zone déléguée, elle est toujours gérée par la même entité qui gère «fr».Vous pouvez donc avoir à la fois `foobar.gouv.fr` et` zorglub.gouv.fr` et dans les deux cas, vous devrez demander au registre `.fr` de les obtenir (techniquement, car en pratique` gouv.fr` estréservé aux collectivités publiques françaises).Cela montre simplement que chaque point n'est pas une délégation.
@PatrickMevzek: Les exemples que vous donnez sont tous couverts par la liste publique de suffixes que j'ai explicitement mentionnée dans ma réponse.
Je faisais un commentaire sur "Les registraires DNS ne se soucient que de l'enregistrement du domaine primaire", ce qui me semble trompeur, mais tout dépend de ce que signifie "primaire" dans ce cas.J'essayais de montrer que vous pouvez avoir des bureaux d'enregistrement pour `uk.com` comme vous avez des bureaux d'enregistrement (mais des ensembles différents) pour` com`.La PSL répertorie beaucoup de choses, à la fois des suffixes qui n'existent plus, qui sont fermés aux inscriptions ou qui sont utilisés en interne par certaines organisations uniquement.Cela brouille à nouveau la distinction importante que j'ai essayé de faire entre la façon dont le DNS fonctionne techniquement et administrativement.
@PatrickMevzek: * "mais tout dépend de ce que" primaire "signifie dans ce cas" * - ce que "primaire" signifie est expliqué dans mon deuxième paragraphe qui pointe vers la liste des suffixes publics.À la fin, la question est de savoir ce que vous pouvez obtenir d'un registraire public, et il s'agit d'un domaine principal et non d'un sous-domaine d'un domaine principal et non de quelque chose de plus haut dans la hiérarchie qu'un domaine principal.
Ok, mais alors l'ensemble n'est toujours pas vrai.«gouv.fr» peut être dans le PSL mais ils ne sont pas des bureaux d'enregistrement pour lui, car il ne s'agit pas d'une zone déléguée de «.fr» (ou dit autrement ses bureaux d'enregistrement sont les bureaux d'enregistrement pour «.fr»).Et comme je l'ai dit, plusieurs entrées dans le PSL sont soit mortes, fermées aux enregistrements, soit simplement utilisées en interne par certaines organisations, tous les cas où il n'y a alors aucun bureau d'enregistrement pour ce domaine "principal".Je vais m'arrêter là mais je pense que la distinction est importante même si nous resterons probablement en désaccord là-dessus, je suppose.
@PatrickMevzek: Certes, vous n'obtiendrez pas tous les domaines principaux car le bureau d'enregistrement ne vous est pas ouvert ou si les politiques vous interdisent de vous délivrer un tel domaine ou si cet espace de noms n'est plus disponible - mais cela est vrai en général lors de l'enregistrement de domaines.Essayez simplement d'obtenir un domaine .edu pour un usage privé.La liste publique des suffixes est également utilisée par (certains) navigateurs pour rejeter les certificats pour des choses comme `* .co.uk` qui n'auraient pas dû être émises en premier lieu afin qu'ils aient la même idée des domaines qui pourraient en théorie appartenir à quelqu'unet qui certainement pas.
Oui, le PSL est nécessaire, même s'il n'est pas parfait, mais il n'y a rien de mieux / d'autre, pour obtenir des limites administratives dans le DNS, car cela est nécessaire pour la gestion des cookies.Il ne dit rien sur les limites techniques, ni sur le nombre de points dans le nom.Ni sur les politiques attachées à chaque domaine principal, comme vous le dites en effet.
cde
2018-09-19 04:26:49 UTC
view on stackexchange narkive permalink

Le registre le permettra-t-il? Ou y a-t-il une compréhension implicite que ces noms de domaine sont liés et ne peuvent pas être obtenus par des tiers?

Il n'y a aucune raison technique ils ne pouvaient pas encore faire cela *. Les enregistrements DNS sont gérés de manière centralisée par des serveurs de noms et les enregistrements peuvent pointer dans n'importe quel sens. La nature textuelle de base des enregistrements DNS nécessite quasiment d'être aussi libérale. En fait, c'est pourquoi l'usurpation d'identité et le contrôle de l'homme au milieu des serveurs DNS sont un problème.

Cela dit, il existe des règles que les registres de noms de domaine suivent à travers des obligations contractuelles. Briser ces règles, c'est-à-dire permettre à d'autres d'enregistrer des sous-domaines sur un domaine donné sans l'autorisation du «propriétaire» (bailleur) du domaine, risquerait un contrat très lucratif avec le détenteur du domaine de premier niveau ou l'ICANN. Ainsi, la compréhension implicite qui rend difficile l'obtention d'un sous-domaine sur le domaine de quelqu'un d'autre est simplement l'intérêt financier du bureau d'enregistrement.

Pour lutter contre ceci, d'autres techniques comme la signature SSL de sites, les certificats racine de confiance ou DNSSEC (extensions de sécurité DNS) sont importantes. * DNSSEC est le plan actuel pour lutter contre les vulnérabilités dans la résolution DNS, grâce au chiffrement de bout en bout et à la validation des requêtes DNS.

De plus, si quelqu'un enfreint les règles et enregistre un domaine inapproprié, il ne sera reconnu que par les connexions qui utilisent ce serveur DNS, et non par le monde entier.Cela ne fonctionnerait donc pas de manière fiable à moins que vous ne contrôliez l'environnement réseau de votre cible.
Je ne pense pas que DNSSEC fournit un cryptage de bout en bout?Je crois que DNSSEC est uniquement destiné à la signature?
@LieRyan DNSSEC ne crypte pas les enregistrements DNS mais leur attache des signatures (et s'occupe de la propagation des clés).Si vous voulez un cryptage DNS, vous avez besoin de DoT ou DoH qui est DNS sur TLS et DNS sur HTTPS.Le transport (UDP / TCP / HTTPS / TLS) et le contenu (enregistrements DNS purs ou DNS + DNSSEC) sont orthogonaux et chacun offre des fonctionnalités différentes (ce qui signifie que DNSSEC ne remplace pas DoH / DoT et même pour l'inverse).
StessenJ
2018-09-19 12:05:36 UTC
view on stackexchange narkive permalink

Je possède un domaine, disons "xyz.eu". Cela a été enregistré dans DNS par un fournisseur, et je leur verse des frais annuels (7 € pour le nom et 10 € pour l'hébergement le moins cher).

Avec un simple outil Web chez mon fournisseur d'hébergement, je peux créer tous les sous-domaines que je préfère. Certains sont prédéfinis: www.xyz.eu, smtp, mail, imap. Je n'ai besoin de la permission de personne et je ne paie rien de plus pour les sous-domaines. Personne d'autre ne peut créer des sous-domaines sous mon domaine, uniquement via moi. Il en va de même pour les boîtes aux lettres, comme name@xyz.eu, je suis la seule à pouvoir les créer.

La plupart des données sont hébergées par mon fournisseur, jusqu'à 10 Go. Avec l'aide de DDNS et une certaine configuration chez le fournisseur, je peux également faire pointer un sous-domaine vers un serveur chez moi, par ex. home.xyz.eu. Ce serveur est juste un lecteur flash de 32 Go branché sur le routeur, il pourrait servir de gros fichiers multimédias.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...