Unbound 1.6.4/1.6.5: Unexpected AD=0 for signed NODATA at zone apex?
Viktor Dukhovni
ietf-dane at dukhovni.org
Sun Aug 27 04:38:40 UTC 2017
On Thu, Aug 24, 2017 at 05:28:28PM +0200, W.C.A. Wijngaards wrote:
> [1503588441] libunbound[20640:0] info: verify rrset 3645142tqk02bkonalf8lhipr7bs92k2.pat.dedyn.io. NSEC3 IN
> [1503588441] libunbound[20640:0] debug: Validating a nodata response
> [1503588441] libunbound[20640:0] debug: nsec3: keysize 1024 bits, max iterations 150
> [1503588441] libunbound[20640:0] debug: NODATA response is insecure
> [1503588441] libunbound[20640:0] info: validate(nodata): sec_status_insecure
>
> So I guess the max iterations of 300 is a bit too much.
Thanks, that's rather ironic. I should have noticed of course:
https://github.com/danyork/draft-deploying-dnssec-crypto-algs/pull/5/files
which became:
https://tools.ietf.org/html/draft-york-dnsop-deploying-dnssec-crypto-algs-05#section-2.3.1
Indeed in doing the background research for that text I'd already
surveyed ~4.6 million DNSSEC domains for iteration limit violations
and found dedyn.io to be a hotspot (from email I sent to Paul
Wouters on May 26th) of same. I just forgot that that's the case
in the interim:
key bits al fl iter domain name
-------- -- -- ---- -----------
1024 1 0 300 2639.dedyn.io
1024 1 0 300 alba.dedyn.io
1024 1 0 300 alefhomeunix.dedyn.io
1024 1 0 300 amadeus.dedyn.io
1024 1 0 300 arccadon.dedyn.io
1024 1 0 300 armarcom.dedyn.io
1024 1 0 300 arni2802.dedyn.io
1024 1 0 300 backup01fliedenorg.dedyn.io
1024 1 0 300 bblid.dedyn.io
1024 1 0 300 biewald.dedyn.io
1024 1 0 300 blum.dedyn.io
1024 1 0 300 bmac01.dedyn.io
1024 1 0 300 boenkost.dedyn.io
1024 1 0 300 caymans11.dedyn.io
1024 1 0 300 cnode.dedyn.io
1024 1 0 300 columbus2015.dedyn.io
1024 1 0 300 daneel.dedyn.io
1024 1 0 300 de-bavori-frs.dedyn.io
1024 1 0 300 deboca.dedyn.io
1024 1 0 300 dedom.dedyn.io
1024 1 0 300 digo.dedyn.io
1024 1 0 300 druckerei-huesgen.dedyn.io
1024 1 0 300 ds212quadflieg.dedyn.io
1024 1 0 300 ds61.dedyn.io
1024 1 0 300 ebner-admin.dedyn.io
1024 1 0 300 eldena.dedyn.io
1024 1 0 300 eshiki.dedyn.io
1024 1 0 300 et-monkey.dedyn.io
1024 1 0 300 eyhoma.dedyn.io
1024 1 0 300 faelix.dedyn.io
1024 1 0 300 fam-paul.dedyn.io
1024 1 0 300 felge20000.dedyn.io
1024 1 0 300 fheidenr.dedyn.io
1024 1 0 300 fishminer.dedyn.io
1024 1 0 300 frickel.dedyn.io
1024 1 0 300 friedrich-net.dedyn.io
1024 1 0 300 frinkonizer.dedyn.io
1024 1 0 300 germbedded.dedyn.io
1024 1 0 300 herert.dedyn.io
1024 1 0 300 holly64.dedyn.io
1024 1 0 300 hsh.dedyn.io
1024 1 0 300 iturde.dedyn.io
1024 1 0 300 jh-nas-server.dedyn.io
1024 1 0 300 jtech.dedyn.io
1024 1 0 300 kbmarburg.dedyn.io
1024 1 0 300 keller.dedyn.io
1024 1 0 300 kiel.dedyn.io
1024 1 0 300 kilian.dedyn.io
1024 1 0 300 klausschwarz.dedyn.io
1024 1 0 300 kls.dedyn.io
1024 1 0 300 knauf.dedyn.io
1024 1 0 300 kohlzwgn.dedyn.io
1024 1 0 300 krazykatmove.dedyn.io
1024 1 0 300 kriftel.dedyn.io
1024 1 0 300 lecher.dedyn.io
1024 1 0 300 logohome.dedyn.io
1024 1 0 300 lts-gnoien.dedyn.io
1024 1 0 300 maggy.dedyn.io
1024 1 0 300 markus-row.dedyn.io
1024 1 0 300 mdm-coe.dedyn.io
1024 1 0 300 mhaelsig2fritz.dedyn.io
1024 1 0 300 micarl.dedyn.io
1024 1 0 300 michaelsauer.dedyn.io
1024 1 0 300 midbo.dedyn.io
1024 1 0 300 mirko-franke.dedyn.io
1024 1 0 300 mogroscha.dedyn.io
1024 1 0 300 mp-cloud.dedyn.io
1024 1 0 300 msijong7490.dedyn.io
1024 1 0 300 neumann15.dedyn.io
1024 1 0 300 oevi.dedyn.io
1024 1 0 300 openhab.dedyn.io
1024 1 0 300 pat.dedyn.io
1024 1 0 300 pedrobbg.dedyn.io
1024 1 0 300 persche.dedyn.io
1024 1 0 300 pitahaya.dedyn.io
1024 1 0 300 pottklose.dedyn.io
1024 1 0 300 ppv.dedyn.io
1024 1 0 300 proger.dedyn.io
1024 1 0 300 purpletree.dedyn.io
1024 1 0 300 quakeman.dedyn.io
1024 1 0 300 rk.dedyn.io
1024 1 0 300 rlb.dedyn.io
1024 1 0 300 roeddi.dedyn.io
1024 1 0 300 rolf.dedyn.io
1024 1 0 300 rugk.dedyn.io
1024 1 0 300 sandix.dedyn.io
1024 1 0 300 schorcht.dedyn.io
1024 1 0 300 sinapiserver.dedyn.io
1024 1 0 300 spkcelle.dedyn.io
1024 1 0 300 sports.dedyn.io
1024 1 0 300 stahlwolf.dedyn.io
1024 1 0 300 thoreundannki.dedyn.io
1024 1 0 300 ticktack22.dedyn.io
1024 1 0 300 toby1310-gt.dedyn.io
1024 1 0 300 tomcharli.dedyn.io
1024 1 0 300 toppa.dedyn.io
1024 1 0 300 trashbox.dedyn.io
1024 1 0 300 trikolon-de204.dedyn.io
1024 1 0 300 turbomicha.dedyn.io
1024 1 0 300 tvjoe.dedyn.io
1024 1 0 300 vagafotodesign.dedyn.io
1024 1 0 300 vaultsys.dedyn.io
1024 1 0 300 vitek.dedyn.io
1024 1 0 300 walteradmin.dedyn.io
1024 1 0 300 watefak.dedyn.io
1024 1 0 300 weding.dedyn.io
1024 1 0 300 werner.dedyn.io
1024 1 0 300 x7000.dedyn.io
1024 1 0 300 ylphotograpy.dedyn.io
1024 1 0 300 za.dedyn.io
1024 1 0 300 zwettler.dedyn.io
1024 1 0 300 zysp.dedyn.io
1024 1 0 300 dedyn.io
1024 1 0 300 desec.io
1024 1 0 330 vnode.net
1024 1 0 500 alexcohn.com
2048 1 0 2500 giesen.me
2048 1 0 4096 somebain.com
Perhaps it is time to reach out to dedyn.io, anyone have any good
contacts there?
--
Viktor.
More information about the Unbound-users
mailing list