Frage:
Erlaubt DNS Dritten, Subdomains zu registrieren?
Tony Barry
2018-09-17 11:41:59 UTC
view on stackexchange narkive permalink

Ich habe eine dieser Fragen, die sich auf die Regelsätze für die DNS-Suche stützen.

Angenommen, Person A besitzt die Site https://www.example.com . Eine andere Person, Person B, die nicht mit A verknüpft ist, versucht, https://sub.example.com bei der lokalen Registrierung zu registrieren. Wird die Registrierung dies zulassen? Oder gibt es ein implizites Verständnis dafür, dass diese Domain-Namen verknüpft sind und nicht von Dritten bezogen werden können?

Der Grund, den ich frage, ist, dass meine Universität https://www.sydney.edu .au hat mir angeblich einen Link in einer E-Mail gesendet, die von [email protected] verfasst wurde, und dieser Link leitet mich zu https://canvas.sydney.edu.au/ .

Das sieht für mich schlecht aus. Möglicherweise erlauben DNS-Regeln jedoch nur, dass https://www.sydney.edu.au die zugehörige Domain https://canvas.sydney.edu.au hat.

Wenn andernfalls eine Person (z. B. eine schlechte Person) https://badsite.sydney.edu.au registrieren kann und DNS dies zulässt, gibt es ein Loch in der DNS-Welt, die für Schlechtigkeit gemacht ist.

Streng genommen registrieren Sie keine Subdomains, Sie registrieren die * Domain * und wenn der Registrar die Registrierung zulässt, können Sie DNS-Einträge für null oder mehr Subdomains erstellen, die auf Ressourcen auf Ihrem eigenen Hosting, Drittanbietern, verweisen können.Content Delivery-Netzwerke usw. Mit diesen DNS-Einträgen können Clients (wie ein Browser) die Subdomain in eine IP-Adresse auflösen, nicht in eine Domain- (oder Subdomain-) Registrierung.In einem vereinfachten Sinne bietet die Domainregistrierung eine Möglichkeit, den Client auf den DNS-Server zu verweisen, den Sie für die Domain nominiert haben (der nicht Ihr Registrar sein muss).
Höchstwahrscheinlich wurde "canvas.sydney.edu.au" von Ihrer Universität so eingerichtet, dass sie auf eine Adresse verweist, die Instructure gehört / von Instructure kontrolliert wird.Dies ist eine ziemlich übliche Praxis bei Dienstanbietern, ähnlich wie Sie sich für einen Blogging-Dienst anmelden können, aber Ihren eigenen Domainnamen verwenden, den Sie an anderer Stelle erworben haben
Die Domain-Hierarchie drückt in der Tat Vertrauen in der von Ihnen angenommenen Weise aus: "example.com" ist das übergeordnete Element von "www.example.com" und "sub.example.com" (und "any.example.com") undkontrolliert somit diese Domänen oder entscheidet sich dafür, die Kontrolle frei zu delegieren.Die maßgeblichste Entität ist das Segment ganz rechts in der Domäne.So besitzt `sydney.edu.au`, dem` www.sydney.edu.au` gehört, auch `canvas.sydney.edu.au`.
Obwohl dies nicht direkt auf die Frage reagiert, kann es nützlich sein zu wissen, dass "canvas" eine Suite von Lernmanagementsystem-Software ist, die von einem Unternehmen namens "Instructure" entwickelt wurde.Dies erklärt den Grund, warum Sie von "Instructure" eine E-Mail über eine Site an Ihrer Universität mit dem Namen "Canvas" erhalten haben.Ich bin damit einverstanden, dass es eine schlechte Praxis ist, solche obskuren Kennungen in E-Mails zu verwenden, wenn wir versuchen, die Leute dazu zu bringen, Anzeichen von Phishing besser zu beachten
Fünf antworten:
#1
+30
reirab
2018-09-17 16:40:40 UTC
view on stackexchange narkive permalink

Kurze Antwort: Nein , Dritte können eine Subdomain nicht ohne Genehmigung des Inhabers der Domain registrieren.


DNS ist ein hierarchisches System, das von bestellt wird von rechts nach links im Hostnamen. Wer einen bestimmten Domainnamen registriert hat, kontrolliert die autorisierenden Nameserver für diese Domain. Dies bedeutet, dass alle Abfragen (die nicht aus dem Cache beantwortet werden) für diese Domäne oder eine ihrer Subdomänen an die DNS-Server dieser Organisation weitergeleitet werden, sodass sie die volle Kontrolle über alle Subdomänen haben. Sie können dieses Steuerelement natürlich auch an eine andere Person delegieren, wenn sie dies wünschen.

Wenn ich beispielsweise reirab.com registrieren würde, wenn jemand subdomain.reirab.com abfragt (und kein Cache vorhanden ist) beteiligt wäre,) was passieren würde, wäre Folgendes:

Ihr DNS-Server würde zuerst die Root-Server nach der ersten Domain von rechts fragen, dh com. Sie würden einen DNS NS-Eintrag zurückgeben, der ihnen den autorisierenden Nameserver für com mitteilt.

Ihr DNS-Server würde dann eine Anfrage an den autorisierenden com-Nameserver senden, den er vom entdeckt hat vorherige Anfrage für reirab.com. Es würde erneut eine Antwort des NS-Datensatzes erhalten, die den autorisierenden Nameserver für reirab.com mitteilt.

Ihr DNS-Server würde jetzt eine Anfrage an den autorisierenden Nameserver von reirab.com für subdomain.reirab.com senden. Da ich reirab.com besitzen würde, hätte ich die volle Kontrolle über diesen autorisierenden Nameserver. Es wäre entweder ein Server, den ich selbst besitze, oder einer, der von einem Dritten in meinem Namen gehostet wird. Die einzigen Subdomains, die möglicherweise (autorisierend) für diese Domain zurückgegeben werden könnten, sind diejenigen, für die ich selbst Datensätze auf diesem autorisierenden Nameserver erstellt habe. Die einzige Möglichkeit für eine andere Person, eine Subdomain von reirab.com zu registrieren, besteht darin, mich zu bitten, sie für sie einzurichten. Da ich den autorisierenden Nameserver für reirab.com und alle Anfragen besitze denn seine Subdomains würden durch meinen Server geleitet.

Wenn ich die Kontrolle über eine Subdomain an eine andere Person delegieren wollte, würde ich dies genauso tun, wie mein Registrar die Kontrolle über reirab.com an mich delegiert hat: mit einem NS-Datensatz. Durch Hinzufügen eines NS-Datensatzes für subdomain.reirab.com zum autorisierenden Nameserver von reirab.com kann ich Anforderungen für subdomain.reirab.com und jede seiner Subdomänen autorisierend an den in diesem NS-Datensatz aufgeführten Nameserver weiterleiten, der von gesteuert wird die Organisation, an die ich die Kontrolle über diese Subdomain delegiert habe. Ich kann diese Delegierung jederzeit widerrufen, indem ich diesen NS-Eintrag entferne oder ändere.

Übrigens wird 'www' von DNS nicht speziell behandelt. Es ist nur ein weiterer Hostname im autorisierenden DNS-Server seiner Domain. Es ist nur konventionell, dass wir den Host-Datensatz (A oder AAAA) für den Webserver dieser Organisation dort ablegen. Der A-Eintrag für www.exampledomain.com und Somethingelse.exampledomain.com liegt höchstwahrscheinlich auf demselben Server: dem DNS-Server von examplepledomain.com.


Hinweis: Diese Antwort hat die Dinge absichtlich etwas vereinfacht für den Fall, dass jemand einen DNS-Eintrag aus dem Internet anfordert. Wenn eine Anforderung für eine Domäne aus der Organisation der Domäne stammt, wird die Anforderung wahrscheinlich direkt von den Nameservern der Organisation gelöst, ohne die Kette zu root-servers.net, den Nameservern der TLD usw. hochzulaufen. In diesem Fall einem Host Der Name könnte möglicherweise sogar in etwas anderes aufgelöst werden als das, was er aus dem Internet auflösen würde, wenn die Organisation dies wünscht.

Über www: Früher war es üblich, mail.example.com, ftp.example.com, vielleicht gopher.example.com und www.example.com einzurichten.Da sich alle diese (und der DNS-Server) auf demselben Server befinden würden, würde die URL http://example.com (ohne www) berücksichtigt.Leider sind heutzutage viele Websites so konfiguriert, dass sie example.com nicht ohne das WWW-Präfix bedienen, was ich immer als störend empfand.
@MartinArgerami Es ist immer noch ziemlich üblich, dass Mailserver so etwas wie mail.example.com, smtp.example.com usw. verwenden, aber ja, ftp.und Gopher.Viele Organisationen konfigurieren den A-Datensatz für das Stammverzeichnis ihrer Domain so, dass er auf dieselbe Adresse (n) wie www verweist.und konfigurieren Sie dann den Webserver so, dass er auf beide wartet und nur eine Umleitung zur anderen hat.Auf diese Weise richte ich normalerweise Domains mit Websites ein.
Der Punkt ist auch, dass "CNAME" nützlich ist und Sie einen CNAME auf "www" setzen können, aber nicht an der Spitze.Daher haben Sie in dieser Hinsicht mehr Flexibilität, wenn Ihre Website den Namen "www.example.com" anstelle von "example.com" trägt.Am Anfang identifizierte der Name auch eine bestimmte Maschine, aber das ist mit virtuellem Massenhosting in der Webwelt längst vorbei.
#2
+28
usr-local-ΕΨΗΕΛΩΝ
2018-09-17 15:20:51 UTC
view on stackexchange narkive permalink

Willkommen in der Sicherheit!

Der Fall von Bildungs- / Regierungsinitiativen ist ein besonderer Fall von Subdomaining. Grundsätzlich hat ICANN, der die Top-Namen des Internets regiert, die Verwaltung der TLD .au an die australische Regierung delegiert (um es einfach zu machen). Da .edu und .gov (et similia) aus historischen Gründen im Besitz der USA sind, hatte Australien wie einige andere Länder keine Wahl als um seine eigene dedizierte Bildungs-Subdomain unter .au zu verwalten. Andere Beispiele sind .gov.uk , .gov.it usw., die ähnliche Entscheidungen getroffen haben.

Wenn Sie whois code verwenden > Linux-Tool finden Sie interessante Informationen. Ich habe die Ausgabe

  zusammengefasst: ~ > whois au% IANA WHOIS-Server% Weitere Informationen zu IANA finden Sie unter http: //www.iana.org%. Diese Abfrage ergab 1 Objektdomäne: AUorganisation: .au Domain Administration (auDA) Adresse: Lv 17Adresse: 1 Collins Adresse: Melbourne VIC 3000Adresse: Australien: ~ > whois edu.auDomain Name: EDU.AURegistry Domain-ID: D407400000002449554-AURegistrar WHOIS Server: whois.auda.ltdRegistrar URL: http : //www.afilias.com.au Zuletzt geändert: Registrar Name: Afilias Australia Pty Ltd: ~ > whois sydney.edu.auDomain Name: SYDNEY.EDU.AURegistry Domain ID: D407400000000057080-AURegistrar WHOIS Server: whois.auda.org. auRegistrar URL: https: //www.domainname.edu.au Zuletzt geändert: 2018-07-17T00: 59: 06ZRegistrar Name: EDUCATION SERVICES AUSTRALIA LIMITED  

Für jedes Thema in der Kette ist verantwortlich Zulassen, dass Parteien Subdomains registrieren. Wenn Ihre Wissenschaftsabteilung beispielsweise eine Subdomain registrieren möchte, muss sie Education Services Australia abfragen.

Experiment: Versuchen Sie, usrlocalechelon.edu.au code zu registrieren > auf GoDaddy: Sie dürfen dir das nicht verkaufen

Experiment 2: https://www.domainname.edu.au/ bietet mir an, usrlocalechelon.edu.au für 41 AUD zu registrieren. Sieht meiner Meinung nach zu öffentlich aus, da Sie sich möglicherweise als Bildungseinrichtung in Australien ausgeben, wenn Sie nur für eine .edu.au -Domain bezahlen können.

Kommentar: Die Website zeigt einen Registrierungsschritt "Zulassungsdetails" an, in dem ich wahrscheinlich keine australische Bildungsdomäne registrieren kann , weil mir die Berechtigung zur Registrierung unter eu fehlt. Ich habe nicht versucht, den Assistenten voranzutreiben.

Experiment 3 (das die Sicherheitsfrage beantwortet)

https://www.domainname.edu.au/ erlaubt mir NICHT , usrlocalechelon.sydney.edu.au zu registrieren, da

der Antragsteller nationale Interessen und Verantwortlichkeiten haben muss oder anerkannt werden und Dienstleistungen in mehr als einem Bundesstaat oder Gebiet erbringen

Example domain search

Zusammenfassung

Sie Sie können Ihre bevorzugte Sub-Sub-Domain niemals bei einem öffentlichen Registrar beantragen, da Sie aus technischen Gründen den Eigentümer der Level-minus-One-Domain durchlaufen müssen. DNS ist hierarchisch.

Wenn jedoch die Organisation, die Ihre Domain der dritten oder vierten Ebene besitzt (wie im Beispiel sydney.edu.au), Fehler beim Filtern von Domainanwendungen aufweist, ist dies ihr eigenes organisatorisches Problem stark> und ist kein Fehler im DNS-System.

https://security.stackexchange.com/users/67189/usr-local-ΕΨΗΕΛΩΝ - Vielen Dank für diese hervorragende Antwort.Geschätzt.
Höchstwahrscheinlich wird die DNS-Forward-Lookup-Zone von sydney.edu.au direkt von der IT-Abteilung der University of Sydney verwaltet und verfügt über keinerlei Webschnittstelle zum Anfordern von Subdomains.Sie würden nur Subdomains einrichten, wenn / wenn dies aus universitären Gründen erforderlich ist.
ICANN verwaltet weder die .au-TLD noch eine andere ccTLD.Sie "verwalten" nicht einmal die gTLDs, obwohl sie den Inhalt der Stammzone kontrollieren, und die gTLDs müssen den ICANN-Richtlinien entsprechen, um dort aufgelistet zu werden.
Ich muss den Satz "Den Assistenten nach vorne schieben" zum frühestmöglichen Zeitpunkt ins Gespräch bringen.
#3
+19
Steffen Ullrich
2018-09-17 12:02:42 UTC
view on stackexchange narkive permalink

Die DNS-Registrare kümmern sich nur um die Registrierung der primären Domain, d. h. example.com . Sie interessieren sich nicht für Subdomains wie www.example.com oder www.math.example.com und ähnliches. Diese haben die volle Kontrolle über die Organisation, der die primäre Domäne gehört, und die möglicherweise auch beschließen, die Kontrolle über diese Domänen oder einige dieser Domänen an andere Parteien zu delegieren.

Beachten Sie, dass eine primäre Domäne nicht unbedingt die domain.toplevel , aber es ist domain.publicsuffix , wobei publicsuffix Dinge wie com , aber auch co sein können. uk . Weitere Informationen hierzu finden Sie unter publicsuffix.org.

Einverstanden, aber beachten Sie, dass Registrare auf jeder Ebene existieren können.`.COM` ist eine TLD, die von VeriSign verwaltet wird und über eine Reihe von Registraren verfügt."UK.COM" ist ein SLD, das von einem Registrar bei VeriSign registriert wurde. "UK.COM" ist jedoch selbst offen für Registrierungen aus dem Register "Centralnic", das seine eigenen Registrare zur Registrierung von Domainnamen unter "UK.COM" akkreditiert hat.Alle Antworten mischen zwei verschiedene Dinge: die Baumstruktur der DNS- und der NS-Einträge, die Zonenschnitt implementieren und technische Grenzen signalisieren, und die Art und Weise, wie jede Ebene administrativ verwaltet wird und für weitere Delegationen offen ist oder nicht.
Die Dinge sind auch komplizierter, weil jeder Punkt nicht unbedingt einen Delegationswechsel bedeutet.Zum Beispiel ist "gouv.fr" keine delegierte Zone, sondern wird immer noch von derselben Entität verwaltet, die "fr" verwaltet.Sie können also sowohl `foobar.gouv.fr` als auch` zorglub.gouv.fr` haben und in beiden Fällen müssen Sie die `.fr` -Registrierung fragen, um sie zu erhalten (technisch gesehen, weil in der Praxis` gouv.fr` istreserviert für die französischen Regierungsstellen).Es zeigt nur, dass nicht jeder Punkt eine Delegation ist.
@PatrickMevzek: Die Beispiele, die Sie geben, werden alle von der öffentlichen Suffixliste abgedeckt, die ich in meiner Antwort ausdrücklich erwähnt habe.
Ich habe "Die DNS-Registrare kümmern sich nur um die Registrierung der primären Domain" kommentiert, was mir irreführend erscheint, aber alles hängt davon ab, was "primär" in diesem Fall bedeutet.Ich habe versucht zu zeigen, dass Sie Registrare für "uk.com" haben können, da Sie Registrare (aber verschiedene Sets) für "com" haben.Die PSL listet viele Dinge auf, beide Suffixe, die nicht mehr existieren, die für Registrierungen geschlossen sind oder die nur von einer Organisation intern verwendet werden.Dies verwischt erneut die wichtige Unterscheidung, die ich zwischen der technischen und administrativen Funktionsweise des DNS zu treffen versucht habe.
@PatrickMevzek: * ", aber es hängt alles davon ab, was" primär "in diesem Fall bedeutet" * - was "primär" bedeutet, wird in meinem zweiten Absatz erklärt, der auf die öffentliche Suffixliste verweist.Am Ende stellt sich die Frage, was Sie von einem öffentlichen Registrar erhalten können. Dies ist eine Primärdomäne und keine Subdomäne einer Primärdomäne und nichts Höheres in der Hierarchie als eine Primärdomäne.
Ok, aber dann ist das Ganze immer noch nicht wahr."gouv.fr" kann in der PSL sein, aber sie sind keine Registrare dafür, da es sich nicht um eine delegierte Zone von ".fr" handelt (oder anders gesagt, seine Registrare sind die Registrare für ".fr").Und wie gesagt, mehrere Einträge in der PSL sind entweder tot, für Registrierungen geschlossen oder werden von einigen Organisationen nur intern verwendet. In allen Fällen gibt es dann keine Registrare für diese "primäre" Domain.Ich werde hier aufhören, aber ich denke, die Unterscheidung ist wichtig, auch wenn wir uns wahrscheinlich darüber nicht einig sind, denke ich.
@PatrickMevzek: Zugegeben, Sie erhalten nicht jede primäre Domain, da der Registrar nicht für Sie geöffnet ist oder wenn Richtlinien die Ausgabe einer solchen Domain an Sie verbieten oder wenn dieser Namensraum nicht mehr verfügbar ist - dies gilt jedoch im Allgemeinen für die Registrierung von Domains.Versuchen Sie einfach, eine .edu-Domain für den privaten Gebrauch zu erhalten.Die öffentliche Suffixliste wird auch von (einigen) Browsern verwendet, um Zertifikate für Dinge wie "* .co.uk" abzulehnen, die eigentlich gar nicht hätten ausgestellt werden dürfen, damit sie die gleiche Idee haben, welche Domains theoretisch jemandem gehören könntenund was definitiv nicht.
Ja, die PSL wird benötigt, auch wenn sie nicht perfekt ist, aber es gibt nichts Besseres, um administrative Grenzen im DNS zu erhalten, da dies für die Behandlung von Cookies erforderlich ist.Es sagt nichts über technische Grenzen oder die Anzahl der Punkte im Namen aus.Auch nicht über die Richtlinien, die jeder primären Domäne zugeordnet sind, wie Sie in der Tat angeben.
#4
+2
cde
2018-09-19 04:26:49 UTC
view on stackexchange narkive permalink

Wird die Registrierung dies zulassen? Oder besteht ein implizites Verständnis dafür, dass diese Domain-Namen verknüpft sind und nicht von Dritten bezogen werden können?

Es gibt keinen technischen Grund das konnten sie noch nicht *. DNS-Einträge werden zentral von Nameservern verwaltet, und Einträge können und können in jede Richtung weisen. Die grundlegende Textnatur von DNS-Datensätzen erfordert, dass sie so liberal ist. Aus diesem Grund sind Spoofing und die Kontrolle über DNS-Server in der Mitte ein Problem.

Allerdings gibt es Regeln, nach denen Domainnamenregister vertragliche Verpflichtungen einhalten. Ein Verstoß gegen diese Regeln, d. H. Das Zulassen, dass andere Subdomains auf einer bestimmten Domain ohne Erlaubnis des "Eigentümers" (Leaser) der Domain registrieren, würde einen sehr lukrativen Vertrag mit dem Domaininhaber der obersten Ebene oder ICANN riskieren. Das implizite Verständnis, das es schwierig macht, eine Subdomain für die Domain eines anderen zu erhalten, ist einfach das finanzielle Eigeninteresse des Registrars.

Zum Kampf Aus diesem Grund sind andere Techniken wie die SSL-Signatur von Websites, vertrauenswürdige Stammzertifikate oder DNSSEC (DNS-Sicherheitserweiterungen) wichtig. * DNSSEC ist der aktuelle Plan zur Bekämpfung der Sicherheitslücken bei der DNS-Auflösung durch End-to-End-Verschlüsselung und Validierung von DNS-Anforderungen.

Auch wenn jemand gegen die Regeln verstößt und eine unangemessene Domain registriert, wird dies nur von den Verbindungen erkannt, die diesen DNS-Server verwenden, nicht von der ganzen Welt.Es würde also nicht zuverlässig funktionieren, wenn Sie nicht die Netzwerkumgebung Ihres Ziels steuern könnten.
Ich glaube nicht, dass DNSSEC eine End-to-End-Verschlüsselung bietet.Ich glaube, DNSSEC ist nur zum Signieren gedacht.
@LieRyan DNSSEC verschlüsselt keine DNS-Einträge, sondern fügt ihnen Signaturen hinzu (und befasst sich mit der Schlüsselweitergabe).Wenn Sie eine DNS-Verschlüsselung wünschen, benötigen Sie DoT oder DoH, dh DNS über TLS und DNS über HTTPS.Der Transport (UDP / TCP / HTTPS / TLS) und der Inhalt (reines DNS oder DNS + DNSSEC-Einträge) sind orthogonal und bieten jeweils unterschiedliche Funktionen (was bedeutet, dass DNSSEC kein Ersatz für DoH / DoT ist und dasselbe für das Gegenteil).
#5
  0
StessenJ
2018-09-19 12:05:36 UTC
view on stackexchange narkive permalink

Ich besitze eine Domain, sagen wir "xyz.eu". Dies wurde von einem Anbieter bei DNS registriert und ich zahle ihnen eine jährliche Gebühr (7 € für den Namen und 10 € für das billigste Hosting).

Mit einem einfachen Webtool bei meinem Hosting-Anbieter kann ich beliebige Subdomains erstellen. Einige sind vordefiniert: www.xyz.eu, smtp, mail, imap. Ich brauche keine Erlaubnis von irgendjemandem und bezahle nichts extra für Subdomains. Niemand sonst kann Subdomains unter meiner Domain erstellen, nur durch mich. Das gleiche gilt für Postfächer wie [email protected], nur ich kann sie erstellen.

Die meisten Daten werden von meinem Anbieter gehostet, bis zu 10 GB. Mit Hilfe von DDNS und einigen Konfigurationen beim Anbieter kann ich auch eine Subdomain auf einen Server in meinem Haus verweisen lassen, z. home.xyz.eu. Dieser Server ist nur ein 32-GB-Flash-Laufwerk, das an den Router angeschlossen ist und große Mediendateien bedienen kann.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...