Wie werden DNS-Namensdatenbanken aufgebaut?

559
PierreEmile

Einige Online-Sicherheitsüberprüfungstools verfügen über eine Datenbank mit DNS-Namen, die mit einer IP verbunden sind.

Zum Beispiel auf https://www.ssllabs.com, wenn ich stackoverflow.com(151.101.129.69) fordere, enthält das Ergebnis:

Alternative Namen: *.stackexchange.com stackoverflow.com *.stackoverflow.com stackauth.com sstatic.net *.sstatic.net serverfault.com *.serverfault.com superuser.com *.superuser.com stackapps.com openid.stackauth.com stackexchange.com *.meta.stackexchange.com meta.stackexchange.com mathoverflow.net *.mathoverflow.net askubuntu.com *.askubuntu.com stacksnippets.net *.blogoverflow.com blogoverflow.com *.meta.stackoverflow.com *.stackoverflow.email stackoverflow.email

Siehe: https://www.ssllabs.com/ssltest/analyze.html?d=stackoverflow.com&s=151.101.129.69&hideResults=on

Nach meinem Verständnis der Funktionsweise von DNS ist es nicht möglich, alle mit einer IP-Adresse verbundenen Namen anzufordern, wenn die Domäne für die Übertragung gesperrt ist:

$ dig stackoverflow.com any [..] ;stackoverflow.com. IN ANY  ;; ANSWER SECTION: stackoverflow.com. 1800 IN A 151.101.193.69 stackoverflow.com. 1800 IN A 151.101.129.69 stackoverflow.com. 1800 IN A 151.101.65.69 stackoverflow.com. 1800 IN A 151.101.1.69 stackoverflow.com. 9900 IN SOA ns-cloud-e1.googledomains.com. cloud-dns-hostmaster.google.com. 1 21600 3600 259200 300 [..]

Die umgekehrte Suche nach IP-Adresse gibt nur einen Datensatz (oder keinen) zurück:

$ host 151.101.129.69 Host 69.129.101.151.in-addr.arpa. not found: 3(NXDOMAIN)

Meine Frage ist also, wie eine Datenbank aufgebaut werden kann, die alternative Namen einer IP-Adresse enthält.

2

1 Antwort auf die Frage

3
jrtapsell

Das verwendet kein DNS, es werden die alternativen Namen (Subject Alternative Name [ SAN ]) des Zertifikats angezeigt. Dies sind alle Namen, für die das Zertifikat ebenfalls gültig ist.

Für eine große Anzahl von Namen werden beispielsweise Clients verwendet, die keine Servernamenanzeige [ SNI ] unterstützen, da das Zertifikat vor dem Senden der Header angegeben werden muss, sodass der Server ein Zertifikat mit allen Namen sendet Es könnte sein, dass das Zertifikat unabhängig von der angeforderten Domäne gültig ist.

Bei SNI ist dies nicht mehr erforderlich, da der Client den Hostnamen im Klartext sendet, bevor das Zertifikat gesendet wird. Der Server weiß also, welches Zertifikat gesendet werden soll. Einige Clients unterstützen jedoch noch keine SNI. Daher ist eine große Anzahl alternativer Namen üblich.

Sie müssen keine Datenbank verwalten, Sie können lediglich eine Verbindung herstellen, das Zertifikat abrufen und die Liste der SANs auf dem Zertifikat anzeigen. Das Zwischenspeichern dieser Informationen kann jedoch sinnvoll sein, da einige Websites häufig abgefragt werden, z. B. Google.

Mehr Info

Beeindruckend ! Vielen Dank. Wusste nichts von SAN. Ich dachte ein Zertifikat = eine Domäne (außer für Wildcard-Zertifikate). PierreEmile vor 7 Jahren 0
SAN bietet einige Vorteile, von denen einer die Möglichkeit bietet, mehrere Tiefen (abc und bc) und verschiedene Wurzeln (beispielsweise ab und ac) abzudecken. jrtapsell vor 7 Jahren 0

Verwandte Probleme