Hoi Allen,
We hebben geregeld met het probleem te maken dat domeinnamen niet geresolved worden via de DNS servers van KPN.
We hebben gezien dat zones die zijn voorzien van DNSSEC soms ineens niet meer/gedeeltelijk een A record niet kunnen resolven.
Dit komt alleen naar voren met de DNS servers van KPN, vanmorgen ook weer, het record van mail.******.com kan niet worden geresolved via KPN. Elke andere DNS server waar we het aan vroegen lukte het wel. Ook controles van de zone uitvoeren middels https://dnsviz.net/d/********.com/analyze/ laat geen issues zien.
We zien dit ook geregeld gebeuren met remote.+++++++.nl en vpn.+++++++.nl. Voor alle medewerkers met een laptop hebben we de hosts file aangepast zodat ze toch thuis kunnen werken en KPN gebruiken.
Iemand van KPN die hierin kan duiken en ik de details kan sturen via een DM?
Alvast bedankt,
Hugo
Welkom op het forum
Wat ik wel voor je kan doen is de vraag doorzetten naar iemand die de gevraagde kennis wel heeft.
Goed dat je persoonlijke gegevens hebt afgeschermd. Wel moet ik die voor het doorzetten toch weten. Wil je ze om die reden in je profiel zetten onder “Persoonlijke opmerkingen”?
Vermeld ook je klantnummer van KPN als je die hebt.
Ik hoor graag van je!
KPN doet al sinds geruime tijd, meer dan een jaar, DNSSEC validatie. DNSSEC is een methode waarmee de integriteit van het antwoord kan worden verzekerd en doet dat middels het zetten van handtekeningen (signatures) bij een antwoord. Dat betekent dat als een domein voorzien wordt van een DNSSEC handtekening de handtekening correct EN actueel moet zijn. En dat geldt niet alleen voor het domein dat gezocht wordt maar ook eventuele tussenliggende domeinen.
De specialisten hebben in de logging gekeken en kunnen zien dat op 15 september de tussenliggende zone niet meer correct gesigned was. Dit is later hersteld. De eerste en de laatste melding voor het domein mail.b.....com zijn:
2022-09-15T09:17:07.268466+02:00 Answer to b……..com|A validates as Bogus - No valid RRSIG
…
2022-09-15T12:00:23.022272+02:00 Answer to b……...com|A validates as Bogus - No valid RRSIG
Daarna was het weer in orde. (RRSIG = Resource Record SIGnature) Hetzelfde geldt voor de andere domeinen die zijn aangegeven.
Ook daar was het tussenliggende domein enige tijd niet correct DNSSEC signed, maar dat was op 19 september. Het is de verantwoordelijkheid van de hoster van het betreffende domein om de signatures tijdig te voorzien van actuele signatures, anders krijg je het probleem dat klanten/gebruikers van het domein geen verbinding meer kunnen krijgen omdat de KPN resolver het antwoord niet meer terug geeft.
Door de adressen in een lokale host file op te nemen of andere DNS resolvers te configureren die het adres (nog) wel teruggeven omzeilt u nu juist de security die DNSSEC beoogt: Het antwoord dat gegeven is is integer. Potentieel loopt u daarmee het risico dat u verbindt met een malafide ip adres (al zal het zo’n vaart niet lopen).
Laat je hier weten of je nog verdere vragen hebt?
Enter your E-mail address. We'll send you an e-mail with instructions to reset your password.