Verisign a ajouté un A RR de type « wildcard » aux zones DNS TLD de « .com » et « .net ». Le A RR en question pointe vers 64.94.110.11(sitefinder.verisign.com). Les implications d’un tel acte sont conséquentes puisque désormais toute erreur dans un nom de omaine .com/net vous redirigera sur itefinder.verisign.com qui contient de la pub pour Verisign.

20 Millions de requête jour !

Mais là n’est pas le plus grave car Verisign a chargé la société Omniture pour récupérer des stats sur les URLs erronnées. Omniture utilise des Web Bugs. Certains de ces Web Bugs positionnent des cookies pour faire des stats par utilisateur/navigateur. Cet acte va aussi gêner beaucoup de filtres de messages non sollicités qui s’appuyent sur la résolution inverse dans leur fonctionnement. En effet, tout nom de domaine .com/net existe désormais!

Il est aussi utile de préciser que bizarrement, l’adresse 64.94.110.11 héberge aussi un service SMTP. On pourrait imaginer que nous aurons bientôt un wildcard MX. D’ailleurs, un dig sur les MX RRs d’un domaine inexistant .com/net retourne un NOERROR…

ISC vient de sortir un certain nombre de correctifs pour les versions 9.x qui ajoutent le mot-clé « delegation-only ». Ce dernier permet de contrecarrer avec efficacité le « wildcard » Verisign. Cependant, un nombre croissant d’utilisateurs rencontre des problèmes pour l’application des correctifs. Alors avant de les mettre en place sur des serveurs en production, lisez attentivement les discussions en cours dans les archives de bind9-users@isc.org et testez-les sur des serveurs de tests. Une autre « solution » consiste à interdire l’accès à l’adresse IP du serveur Verisign sur le pare-feu ou à l’aide d’une route statique. Cependant cette solution n’st pas idéale dans la mesure où les serveurs TLD .com/net de Verisign reçoivent quand même la requête DNS et peuvent générer des stats dessus.