Le DNS permet-il aux tiers d'enregistrer des sous-domaines?

Question

J'ai une de ces questions qui s'appuient sur les ensembles de règles pour la recherche DNS.

Disons que la personne A est propriétaire du site https://www.example.com. Une autre personne, la personne B, non associée à A, tente de s'inscrire https://sub.example.com avec le registre local. Le registre le permettra-t-il? Ou existe-t-il une compréhension implicite que ces noms de domaine sont liés et ne peuvent pas être obtenus par des tiers?

La raison pour laquelle je demande, c'est que mon université https://www.sydney.edu.au soi-disant m'a envoyé un lien dans un e-mail rédigé par notifications@instructure.com et ce lien me dirige vers https://canvas.sydney.edu.au/.

Cela me semble mauvais. Mais peut-être que les règles DNS n'autorisent que https://www.sydney.edu.au pour avoir le domaine associé https://canvas.sydney.edu.au.

Sinon, si une personne (par exemple une mauvaise personne) peut s'inscrire https://badsite.sydney.edu.au et DNS le laisse passer ... alors il y a un trou dans le monde DNS qui est fait pour le mal.

usr-local-ΕΨΗΕΛΩΝ · Accepted Answer

Bienvenue chez Security!

Le cas des institutions éducatives/gouvernementales est un cas particulier de sous-domaine. Fondamentalement, l'ICANN, qui gouverne les principaux noms d'Internet, a délégué la composition du TLD .au Au gouvernement australien (pour faire simple). Mais puisque .edu Et .gov (Et similia) sont la propriété des États-Unis pour des raisons historiques , l'Australie, comme d'autres pays, n’a eu d’autre choix que de gérer son propre sous-domaine dédié à l’éducation sous .au. D'autres exemples sont .gov.uk, .gov.it Etc. qui ont fait des choix similaires.

Si vous utilisez whois l'outil Linux, vous pouvez trouver des informations intéressantes. J'ai résumé sa sortie

:~> whois au % IANA WHOIS server % for more information on IANA, visit http://www.iana.org % This query returned 1 object domain: AU organisation: .au Domain Administration (auDA) address: Lv 17 address: 1 Collins St address: Melbourne VIC 3000 address: Australia :~> whois edu.au Domain Name: EDU.AU Registry Domain ID: D407400000002449554-AU Registrar WHOIS Server: whois.auda.ltd Registrar URL: http://www.afilias.com.au Last Modified: Registrar Name: Afilias Australia Pty Ltd :~> whois sydney.edu.au Domain Name: SYDNEY.EDU.AU Registry Domain ID: D407400000000057080-AU Registrar WHOIS Server: whois.auda.org.au Registrar URL: https://www.domainname.edu.au Last Modified: 2018-07-17T00:59:06Z Registrar Name: EDUCATION SERVICES AUSTRALIA LIMITED

Chaque sujet de la chaîne est responsable de permettre aux parties d'enregistrer des sous-domaines. Par exemple, si votre service scientifique souhaite enregistrer un sous-domaine, il doit se renseigner Education Services Australia.

Expérience: essayez d'enregistrer usrlocalechelon.edu.au Sur GoDaddy: ils ne sont pas autorisés à vous vendre ce

Expérience 2: https://www.domainname.edu.au/ me propose d'enregistrer usrlocalechelon.edu.au Pour 41 AUD. À mon avis, cela semble trop public, car vous pouvez vous prétendre être un établissement d'enseignement en Australie si vous pouvez simplement payer pour un domaine .edu.au.

Commentaire: le site affiche une étape d'inscription "Détails d'éligibilité", où probablement je ne pourrai pas enregistrer un domaine éducatif australien parce que je manque d'autorité s'inscrire sous l'ue. Je n'ai pas pris la peine d'essayer de pousser l'assistant vers l'avant.

Expérience 3 (qui répond à la question de sécurité)

https://www.domainname.edu.au/ ne [~ # ~] pas [~ # ~] permet moi de m'inscrire usrlocalechelon.sydney.edu.au car

Exige que le demandeur ait des intérêts et des responsabilités nationaux ou soit reconnu et fournissant des services dans plus d'un État ou territoire

Résumer

Vous ne pouvez jamais demander votre sous-sous-domaine préféré auprès d'un registraire public, car des raisons techniques vous obligent à passer par le propriétaire du niveau-moins- un domaine. Le DNS est hiérarchique.

Mais si l'organisation propriétaire de votre domaine de troisième ou quatrième niveau (comme sydney.edu.au dans l'exemple) présente des failles dans le filtrage des applications de domaine, , c'est leur propre problème d'organisation et n'est pas une faille du système DNS.

reirab · Answer

Réponse courte: Non , les tiers ne peuvent pas enregistrer un sous-domaine sans l'autorisation du propriétaire du domaine.

DNS est un système hiérarchique, ordonné de droite à gauche dans le nom d'hôte. Quiconque a un nom de domaine donné enregistré contrôle les serveurs de noms faisant autorité pour ce domaine. Cela signifie que toutes les requêtes (auxquelles le cache ne répond pas) pour ce domaine ou l'un de ses sous-domaines seront dirigées vers les serveurs DNS de cette organisation, ce qui leur donnera un contrôle total sur tous les sous-domaines. Ils peuvent, bien sûr, choisir de déléguer ce contrôle à quelqu'un d'autre s'ils le souhaitent.

Par exemple, si je devais enregistrer reirab.com, si quelqu'un interroge subdomain.reirab.com (et qu'aucun cache n'est impliqué), ce qui se passerait est le suivant:

Leur serveur DNS demanderait d'abord aux serveurs racine le premier domaine de droite, c'est-à-dire com. Ils recevraient un DNS enregistrement NS leur indiquant le serveur de noms faisant autorité pour com.

Leur serveur DNS soumettrait alors une demande au serveur de noms faisant autorité qu'il a découvert à partir de la demande précédente pour reirab.com. Il obtiendrait à nouveau une réponse d'enregistrement NS lui indiquant le serveur de noms faisant autorité pour reirab.com.

Leur serveur DNS soumettrait désormais une demande au serveur de noms faisant autorité de reirab.com pour subdomain.reirab.com. Étant donné que je serais propriétaire de reirab.com, j'aurais un contrôle total sur ce serveur de noms faisant autorité. Ce serait soit un serveur que je possède moi-même, soit un serveur hébergé par un tiers en mon nom. Les seuls sous-domaines qui pourraient éventuellement être renvoyés (avec autorité) pour ce domaine sont ceux pour lesquels j'ai moi-même créé des enregistrements sur ce serveur de noms faisant autorité. La seule façon pour quelqu'un d'autre d'enregistrer un sous-domaine de reirab.com serait alors de me demander de le configurer pour lui , puisque je possède le serveur de noms faisant autorité pour reirab.com et toutes les demandes pour ses sous-domaines seraient acheminés via mon serveur.

Si je voulais déléguer le contrôle d'un sous-domaine à quelqu'un d'autre, je le ferais exactement de la même manière que mon registraire m'a délégué le contrôle de reirab.com: avec un enregistrement NS. En ajoutant un enregistrement NS pour subdomain.reirab.com au serveur de noms faisant autorité de reirab.com, je peux diriger avec autorité les demandes de subdomain.reirab.com et de l'un de ses sous-domaines vers le serveur de noms répertorié dans ce NS record, qui serait contrôlé par l'organisation à laquelle j'ai délégué le contrôle de ce sous-domaine. Je pouvais révoquer cette délégation à tout moment en supprimant ou en modifiant cet enregistrement NS.

Soit dit en passant, "www" n'est pas traité spécialement par DNS. Il s'agit simplement d'un autre nom d'hôte dans le serveur DNS faisant autorité de son domaine. Ce n'est que par convention que nous y mettons l'enregistrement hôte (A ou AAAA) pour le serveur Web de cette organisation. L'enregistrement A pour www.exampledomain.com et somethingelse.exampledomain.com se trouve probablement sur le même serveur: le serveur DNS d'exampledomain.com.

Remarque: Cette réponse a intentionnellement simplifié un peu les choses dans le cas de quelqu'un qui demande un enregistrement DNS sur Internet. Si une demande de domaine provient de l'organisation du domaine, la demande sera probablement résolue directement par les serveurs de noms de l'organisation sans remonter la chaîne vers root-servers.net, les serveurs de noms du TLD, etc. Dans ce cas, un hôte le nom pourrait même se résoudre à quelque chose de différent de ce qu'il résoudrait à partir d'Internet, si l'organisation le souhaite.

Steffen Ullrich · Answer

Les bureaux d'enregistrement DNS ne se soucient que de l'enregistrement du domaine principal, c'est-à-dire example.com. Ils ne se soucient d'aucun sous-domaine comme www.example.com ou www.math.example.com et similaire. Ceux-ci contrôlent totalement l'organisation qui possède le domaine principal, qui peut également décider de déléguer le contrôle de ces domaines ou de certains de ces domaines à d'autres parties.

Notez qu'un domaine principal n'est pas nécessairement le domain.toplevel mais il est domain.publicsuffix où publicsuffix peut être des choses comme com mais aussi co.uk. Pour plus d'informations à ce sujet, consultez publicsuffix.org .

cde · Answer

Le registre le permettra-t-il? Ou existe-t-il une compréhension implicite que ces noms de domaine sont liés et ne peuvent pas être obtenus par des tiers?

Il y a aucune raison technique ils ne pouvaient pas encore faire ça *. Les enregistrements DNS sont gérés de manière centralisée par des serveurs de noms et les enregistrements peuvent pointer et pointent dans tous les sens. La nature de texte de base des enregistrements DNS nécessite à peu près qu'il soit si libéral. En fait, c'est la raison pour laquelle l'usurpation d'identité et le contrôle des serveurs DNS posent problème.

Cela dit, il existe des règles que les registres de noms de domaine suivent à travers les obligations contractuelles. Briser ces règles, c'est-à-dire permettre à d'autres d'enregistrer des sous-domaines sur un domaine donné sans l'autorisation du "propriétaire" (locataire) du domaine, risquerait un contrat très lucratif avec le titulaire de domaine de premier niveau ou l'ICANN. Ainsi, la compréhension implicite qui rend difficile l'obtention d'un sous-domaine sur le domaine de quelqu'un d'autre est simplement l'intérêt financier du registraire.

Pour lutter contre cela, d'autres techniques telles que la signature SSL de sites, les certificats racine de confiance ou DNSSEC (extensions de sécurité DNS) sont importantes. * DNSSEC est le plan actuel de lutte contre les vulnérabilités de la résolution DNS, grâce au chiffrement de bout en bout et à la validation des requêtes DNS.

StessenJ · Answer

Je possède un domaine, disons "xyz.eu". Cela a été enregistré auprès de DNS par un fournisseur, et je leur paie une redevance annuelle (7 € pour le nom et 10 € pour l'hébergement le moins cher).

Avec un simple outil Web chez mon hébergeur, je peux créer tous les sous-domaines que j'aime. Certains sont prédéfinis: www.xyz.eu, smtp, mail, imap. Je n'ai besoin de la permission de personne et je ne paie rien de plus pour les sous-domaines. Personne d'autre ne peut créer de sous-domaines sous mon domaine, uniquement via moi. Il en va de même pour les boîtes aux lettres, comme name@xyz.eu, seulement je peux les créer.

La plupart des données sont hébergées par mon fournisseur, jusqu'à 10 Go. Avec l'aide de DDNS et d'une certaine configuration chez le fournisseur, je peux également faire un point de sous-domaine vers un serveur chez moi, par exemple home.xyz.eu. Ce serveur n'est qu'un lecteur flash de 32 Go branché sur le routeur, il pourrait servir de gros fichiers multimédias.