Ghost Domain Names: Revoked Yet Still Resolvable

Ghost Domain Names (GDN) が見えつづけるということは設定次第では「浸透しない」がありえるということになります。


以下は議論のための引用です。

Defense Approaches

1. Strengthening the bailiwick rule –

DNS resolver implementation should tighten the bailiwick rule so that a recursive resolver only accepts a zone’s delegation data from authoritative server of its parent zone.


The first solution derives from the semantics of the bailiwick rule.

The purpose of bailiwick rule is to restrict authoritative servers so that they can only give records in their own range.

From this point of view, an authoritative server has no right to change delegation data of itself since the delegation should be dominated by its parent zone.

However, applying the strict bailiwick rule might cause performance and management issues. One such issue is resilience to authority mismatches. Authority mismatch is a type of DNS misconfiguration in which the delegation data is different in the parent zone than in the child zone. Although the DNS specification [20] requires that delegation data must be consistent, previous studies [30] [27] show this configuration error is common in practice.

While the current cache update policy is resilient to such error, the strict bailiwick rule will ignore delegation data from the child zone, and thus might make some of authoritative servers unusable.

Another issue is about authoritative server migration. Allowing cached NS records to be overwritten can speed up legitimate migration of an authoritative server. However, with the strict bailiwick rule and current DNS protocol, resolvers will not be aware of the migration until cached delegation data expires. What’s even worse, DNS administrators tend to give large TTL values to delegation data. We measured the TTL values of the delegation data of the top one mil- lion Internet domains (ranked by alexa.com), and we found that the TTL values of most popular domains are one (12.04%) or two days (78.41%). This study indicates that with the strict bailiwick rule, legitimate authority changes would take days to complete.


A strict bailiwick rule that rejects self-issued delegation data is semantically correct.


"self-issued delegation" はdelegationを誤解した言葉なのか、NS レコードはすべてdelegationだという主張なのか。

対策としての有効性がなくなるわけではないが、対策の評価についての記述についてはあやしくなる。 -- ToshinoriMaeno 2012-02-12 08:02:30

"the bailiwick rule" も確認してみる必要がある。

キャッシュサーバのキャッシュ管理ポリシー問題よりも「delegationとはなにか」に問題が発展しているようだ。 -- ToshinoriMaeno 2012-02-12 08:08:28

beyondDNSでtweet

NSレコードの値の名前が異なるというのがポイントだと言っていいですね。
その時のTTLの扱いに問題(不良)があって、浸透問題やGhost問題が起きる。
プロトコルでは決まっていない部分だが、脆弱である。

権威あるサーバからのNSレコードをどう処理するかの問題

Ghostはドメイン委譲に期限がないという解釈をした実装に起因している。これを考え直すべきだ。---- 
  上位サーバからの委譲は委譲レコードのTTL満了までの期間しか有効ではないと考えるのがよい。
  委譲を受けたサーバからの返答レコードは上位サーバの与えた有効期限でのみ有効とする。

証明書などの有効期限はこうなっているのではないか。