BIND: CNAME vs wildcard A record conflict

Linux-haladó

Hello,

Egy érdekes problémába futottam bele és nem egészen értem miért viselkedik úgy a szerver ahogy.
Rendeltünk egy SSL tanusítványt és a hitelesítés során egy CNAME rekordot kellett létrehozni a zónában.

Előtte létezett egy wildcard rekord.
*.domain.com. IN A 1.2.3.4

Szoltáltatás futott bbb.domain.com cimen, a névfeloldás a * rekord alapján történt.

Új rekord SSL hitelesítés során:
yyy.bbb.domain.com. IN CNAME xxx.verify.provider.com.

Innentől bbb.domain.com nem volt elérhető, a nevfeloldás nem adott eredményt.
CNAME töröl -> minden jó újra.

Mindez a DNS szolgáltató szerverén történt. Nyitottam egy hibajegyet és azt válaszolták, hogy a CNAME feülbírálta a wildcard rekordot, erre figyelnünk kell legközelebb. Nem egészen értettem, hogy egy specifikusabb CNAME hogyan bírálhat felül egy általános * rekordot.

Tesztként saját szerveren kipróbáltam ugyanezt a szituációt bind alatt és valóban ugyanígy viselkedett.

- *.example.com A rekord létezik
- bbb.example.com feloldható
- akarmi.bbb.example.com CNAME rekord létrehoz
- bbb.example.com nem oldható fel
- cname töröl, minden ok újra

Mi ennek a magyarázata?

Fefe

  • 5268 megtekintés

( willy v | 2013. 10. 21., h – 17:21 )

RFC1912. Közelebbről, a wildcard rekord a domain összes elemére vonatkozik amelyik _nincs_ specifikálva. A akarmi.bbb.example.com specifikációjával a bbb.example.com is specifikálval lett, mivel itt most az *.example.com specifikációjáról beszélünk.

Többnyire powerdns-t használok manapság én is, bár nem ezért. Annak is vannak hülyeségei. A válaszban a feltett kérdés próbáltam megválaszolni. A témában segítséget egy 25+ éves doksi (4.3.2 bekezdés) adhat és mivel tényleg a megvalósítás elég változó, illetve már beértünk a DNSSEC érába ezért a másik doksi enyhíthet a káoszon. Azonban az előzően citált RFC1912 sok problémát segít elkerülni.