"Ulrich Wisser via Ns.se" <ns.se@lists.iis.se> writes:
Vi har förnärvarande en felaktig .se-zonfil publicerad, där cirka 8 000 .se-domäner har felaktiga DNSSEC-signaturer, dvs DNSSEC validerade resolvrar kommer ej godkänna namnslagningar för dessa 8 000 domäner. Arbete med felsökning och åtgärder pågår. Vi informerar igen så fort vi har ny information om detta.
Jag har som utomstående ingen speciell insyn, men här är vad jag kommit fram till: Problemet verkar ligga i RRSIG-posterna i .se-zonen. Så här ska en normal RRSIG-post se ut (tagen från zonöverföringen vi tog vid midnatt natten till idag): malmokonstmuseum.se. 3600 IN RRSIG DS 8 2 3600 20220214131259 20220201101054 30015 se. RSJeiC2vkKXWtnC9If90MMv2+DQuFJ+kfMyS3soVAsGz3Sw8FWUH+elD 7QZdWxAq5N+K3VjQhoOX8YxlBaAutvY4vmvCW60bYQ6AH7DLpb5dJ1wi ixOWZ7gNLrgK5ntg+ChUFv5g+BL2KP/KNLFVm03GtrYYjR4Q0WIqi2lB WNjcrqprlJExvLjBOHTPd4sbfAmaQLKWJPrRqQ66ILner5MtUirBKqcF Wpjh2ZvFDCFPh1aEd4GBPZZRDE2KB0xWN/uTxJJQ4xkAg0Y5W5/FqFCg 2kWdiCRcw0+7P5Ys3C4YpzRvFLIkVGJDJPQmGTLZ5G7ENj/WZ8J9JwCw Qk9sAg== Denna RRSIG-post innehåller ett base64-kodat hash-värde, som avkodas till: 45 22 5e 88 2d af 90 a5 d6 b6 70 bd 21 ff 74 30 cb f6 f8 34 2e 14 9f a4 7c cc 92 de ca 15 02 c1 b3 dd 2c 3c 15 65 07 f9 e9 43 ed 06 5d 5b 10 2a e4 df 8a dd 58 d0 86 83 97 f1 8c 65 05 a0 2e b6 f6 38 be 6b c2 5b ad 1b 61 0e 80 1f b0 cb a5 be 5d 27 5c 22 8b 13 96 67 b8 0d 2e b8 0a e6 7b 60 f8 28 54 16 fe 60 f8 12 f6 28 ff ca 34 b1 55 9b 4d c6 b6 b6 18 8d 1e 10 d1 62 2a 8b 69 41 58 d8 dc ae aa 6b 94 91 31 bc b8 c1 38 74 cf 77 8b 1b 7c 09 9a 40 b2 96 24 fa d1 a9 0e ba 20 b9 de af 93 2d 52 2a c1 2a a7 05 5a 98 e1 d9 9b c5 0c 21 4f 87 56 84 77 81 81 3d 96 51 0c 4d 8a 07 4c 56 37 fb 93 c4 92 50 e3 19 00 83 46 39 5b 9f c5 a8 50 a0 da 45 9d 88 24 5c c3 4f bb 3f 96 2c dc 2e 18 a7 34 6f 14 b2 24 54 62 43 24 f4 26 19 32 d9 e4 6e c4 36 3f d6 67 c2 7d 27 00 b0 42 4f 6c 02 Detta är alltså så som det ska se ut, normalt sett. Men om man frågar om en av de drabbade domänerna idag, t.ex. då malmokonstmuseum.se: malmokonstmuseum.se. 3600 IN RRSIG DS 8 2 3600 20220217185339 20220204091055 30015 se. AAH///////////////////////////////////////////////////// //////////////////////////////////////////////////////// //////////////////////////////////////////////////////// //////////////////////////////////////////////////////// ////////////////////////////////////////////////ADAxMA0G CWCGSAFlAwQCAQUABCDgnyVCUrm7N4MQtPTUEMRvhE81bygXXf+ndjS9 eVjk3A== Ovan hash-värde avkodas till: 00 01 ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff 00 30 31 30 0d 06 09 60 86 48 01 65 03 04 02 01 05 00 04 20 e0 9f 25 42 52 b9 bb 37 83 10 b4 f4 d4 10 c4 6f 84 4f 35 6f 28 17 5d ff a7 76 34 bd 79 58 e4 dc Detta ser ju väldigt suspekt ut, och alla andra RRSIG-poster för alla våra drabbade domäner följer samma mönster. Detta kanske inte råkade drabba så många domäner, men tänk om det drabbat domänen ns.se, som alla DNS-servrar för .se-zonen ligger under. Då hade *hela* .se-zonen varit nere, inte bara 0,5% av alla dess domäner. /Teddy Hogeborn -- Systemadministratör på Nordisk Media Utveckling AB https://www.nmugroup.com/ tel:040-304770