DNSSEC Fehler: The TTL of the RRset (180) exceeds the value of the Original TTL field of the RRSIG RR covering it (0).

Ich habe DNSSEC für meine Domain aktiviert. Die "meisten" DNSSEC-Analyzer sind glücklich (DNSSEC Analyzer, SSL Tools) und auch andere Mail-Server sind mit meinen DANE-Einträgen zufrieden.

Bei DNSViz erhalte ich jedoch die Fehlermeldung:

RRSIG mhnnet.de/NSEC3PARAM alg 8, id 37935: The TTL of the RRset (180) exceeds the value of the Original TTL field of the RRSIG RR covering it (0).

Ich bin kein DNSSEC-Profi. Was bedeutet diese Fehlermeldung? Oder ist das ein False Positive und ist das Ergebnis bei DNSViz einfach falsch?

Alle RR haben bei mir momentan die minimal mögliche TTL von 180s. Bei den betroffenen Fällen habe ich

mhnnet.de.              180     IN      DNSKEY  257 3 8 AwEAAcXNH+ECVOdLRnR5bewh2C/M0C7F+jdWb7KuK2EqRrjUgvdv51ZR MvmTrCPmJ+bKn+ucFLCuaG/B6nWBcmytC0nKllUrTLYVYaKeI2RXwEka bFzgsBbkY2h90aRPKFzazUN1rumJh1UdwNRccTSzEZGUN6iiNnrgm54Q 2CVqKhrzTN
LYypYiACF4pBbAQfIyj2lmwneZwdi4J7UfzA2PMHY6v33u Bu/4U84gHBv+u6wK8e698+8sufdAiduvR8FTMOQCDRcUQnlf02ELP9Fr 2y6d/gxwjRKZiXVE59VCLqa3yCOiVg8LYVoyHxhnT+d5Z23H3P+DfDh2 2QG4F+9fWP8=
mhnnet.de.              180     IN      DNSKEY  256 3 8 AwEAAahpb+4SJ/gSt4Vb9x4MwqX0nvnUxt0kjESnM/aOnWdJfOtlVhs4 r7x+ireDVyCcVodLIQGkm4WzhgKNjG4FZaE7VV4WFqXjC6KL5UJdVBiE W4tY3Ej+TxNMWDUWeA7ZAPLJBDWdwDjobd/5Xy9AoFvDjidEL6vBRcMv 86ooES6H
mhnnet.de.              180     IN      NSEC3PARAM 1 0 100 73D66FE98D54FC17

Daher kann ich aber die Aussage, dass die TTL die Original TTL übersteigen würde nicht nachvollziehen.

PS: Ich bin noch am Testen und sobald alles stabil läuft, wird die TTL von 180s wieder auf angemessene Werte hochgesetzt.

Es handelt sich in der Tat um einen Fehler seitens Netcup beim Signieren und Erzeugen des zugehörigen RRSIG Records für den Record NSEC3PARAM. Es ist ein Bug und ich hoffe Netcup liest hier mit bzw. ich werde im Nachgang einen Bug Report mit Verweis auf diesen Post an Netcup schicken.

Zitat von heppel

Also eine TTL von 0 und nicht 180, wie von Dir angegeben. Das ist bei meinen Resolvern so. Ebenfalls bei 8.8.8.8 und 8.8.4.4. Allerdings liefern 1.1.1.1 und die Netcup-Server eine TTL von 180. Dnsviz sieht wohl auch die TTL von 0. Wo die falsche TTL her kommt, ist mir unklar. Das Flushen meiner Caches hat nicht geholfen.

Das Du bei Caching Resolvern eine kleinere TTL erhältst als beim Name Server, der autoritative für die Zone ist, ist normal. Ein Caching Resolver trägt die Rest-TTL ein, die zum Zeitpunkt des Zonentransfers noch gültig war. Siehe weiter unten, das wird noch wichtig. Für die Fehleranalyse ist es daher notwendig, den authoritive Name Server direkt anzufragen, wenn man die ursprüngliche TTL erfahren möchte.

Screenshot:

Screenshot_20231115_175553.png

Der NSEC3PARAM Resource Record für mhnnet.de hat eine TTL von 180s (vgl. erster pinker Kreis). Die Signatur ist in einem zugehörigen RRSIG Record für mhnnet.de und NSEC3PARAM hinterlegt.

Ein RRSIG Record ist grundsätzlich wie folgt aufgebaut

<Name> <TTL> IN RRSIG <Original Type> <Sig-Algo> <count of labels> <Original TTL> <validity end> <validity begin> <key id> <issuer name> <signature value>

Wir haben

• Name = mhnnet.de
• TTL = 180 (Standardwert für alle TTL in der Zone)
• Original Type = NSEC3PARAM (Typ des Eintrags der signiert wird)
• Signature Algo = 8 (RSA/SHA-256)
• Count of Labels = 2 (weil "mhnnet.de" aus zwei Namensbestandteilen besteht)
• Original TTL = 0 (Hier ist der Bug, dass müsste 180 sein!)
• Rest sollte klar sein

Wichtig ist hier zu unterscheiden zwischen der TTL des RRSIG Records selbst und der Original TTL. Ersteres gibt an, wie lange der RRSIG Record gültig ist. Der Wert ist im Folgenden egal. Die Original TTL muss den Wert der TTL des zu signierenden Resource Records enthalten. In diesem Fall also die TTL des zu signierenden NSEC3PARAM Records. Dieser ist 180 (erster pinker Kreis), aber Netcup trägt für Original TTL konstant eine Null ein (zweiter pinker Kreis).

Der korrekte ursprüngliche TTL-Wert wird zwingend benötigt, um den Signaturwert korrekt verifizieren zu können. Die Signatur wird über den gesamten zu signierenden RRSIG Record erstellt, in dem 180 steht. Wie heppel bereits festgestellt hat, erscheint an dieser Stelle bei Caching Resolvern mitunter ein kleinerer Wert. Damit nun eine Instanz, die die Signatur prüfen will, die Signatur korrekt nachrechnen kann, muss der originale TTL-Wert mitgeteilt werden. Dafür dient Orig-TTL. Aus dem RFC 4034, Sec. 3.1.4:

Zitat

The Original TTL field specifies the TTL of the covered RRset as it appears in the authoritative zone. The Original TTL field is necessary because a caching resolver decrements the TTL value of a cached RRset. In order to validate a signature, a validator requires the original TTL.

Zusammenfassung: Beim Erzeugen des RRSIG Record baut Netcup Mist. Anstatt den richtigen TTL-Wert aus dem zu signierenden Record einzutragen, trägt Netcup hier eine Null ein. Interessanterweise bekommt es Netcup aber bei den anderen RRSIG Records für die übrigen Einträge korrekt hin.

Zitat von tab

Naja, was ich dir ziemlich sicher sagen kann, das ist kein Fehler, der [...] die Auflösung verhindert. Den Fehler habe ich hier bei netcup schon, seit ich Domains mit netcup Nameservern auf dnsviz anschaue. Noch nie eine solche Domain auf dnsviz.net gecheckt, wo der Fehler nicht gekommen wäre.

Das ist insofern richtig, weil nur die Signatur zum NSEC3PARAM-Eintrag kaputt ist. Die Signaturen für die Einträge, die "üblicherweise" von Clients abgefragt werden (z.B. A, AAAA, CNAME, MX usw.) sind in meinem Fall korrekt berechnet. Aber dies ist trotzdem ein Bug, der gefixt gehört. Es müssen alle Einträge korrekt signiert werden!

Zitat von tab

Ich bin in dem DNSSEC-Thema zu wenig drin, aber was man jedenfalls finden kann, ist z.B.dieser Issue:https://github.com/dnsviz/dnsviz/issues/91

Da wird zumindest behauptet, dass es keinerlei praktische Bedeutung hat.

Klares jein. Ich habe mir mittlerweile auch andere RFC zu DNSSEC durchgelesen. Der Record NSEC3PARAM dient dazu, kryptographisch die Nicht-Existenz von Einträgen zu beweisen. Das ist sicherlich ein exotischer Anwendungsfall. Mir fällt spontan auch keine Client-Software ein, die einen Beweis für die Nicht-Existenz eines Eintrags sinnvollerweise benötigen würde.

Aber, dass Netcup hier einen einzelnen RRSIG-Record falsch erstellt, andere RRSIG-Record aber korrekt hinbekommt, verheißt nichts Gutes. Das klingt nach einen typischen indeterministischen "Heisenberg-Bug". Wer garantiert, dass beim nächsten Mal, wenn ich die DNS-Zone bearbeitet, wieder "nur" der Signatureintrag zu etwas unbedeutenden wie NSEC3PARAM kaputt gerechnet wird, der für exotische Client-Applikationen benötigt wird, und nicht mal was wichtigeres wie ein A, AAAA, MX usw. Eintrag betroffen ist?

Zitat von nagmat84

Aber dass Netcup hier einen einzelnen RRSIG-Record falsch erstellt, andere RRSIG-Record aber korrekt hinbekommt, verheißt nichts Gutes. Das klingt nach einen typischen indeterministischen "Heisenberg-Bug". Wer garantiert, dass beim nächsten Mal, wenn ich die DNS-Zone bearbeitet, wieder "nur" der Signatureintrag zu etwas unbedeutenden wie NSEC3PARAM kaputt gerechnet wird, der für exotische Client-Applikationen benötigt wird, und nicht mal was wichtigeres wie ein A, AAAA, MX usw. Eintrag betroffen ist?

Ich hätte es nicht beschreien sollen. Ich habe soeben die TTL-Werte von 180s wieder auf "vernüftige" Werte im Stunden und Tagesbereich hochgesetzt, weil ich mit Testen fertig war und alle DNS-Einträge zu meiner Zufriedenheit waren. Also habe ich neue TTL-Werte eingetragen, ein Update angestoßen und nun ist die Signatur zum SOA-Record kaputt. Arghhh!

Ich wollte ressourcenschonend sein, denn DNS-Einträge ändern sich nicht alle naselang und ich habe

mhnnet.de.   14400   IN   SOA   root-dns.netcup.net.   ;  4h (TTL for SOA)
                                dnsadmin.netcup.net.
                                          2023111518
                                               86400   ; 24h (refresh from primary to secondaries)
                                                7200   ;  2h (retry if refresh fails)
                                              259200   ;  3d (expiration)
                                               14400   ;  4h (minimum TTL for any record)

verwendet.

Jetzt muss ich "irgendwas" in der Zone ändern, damit es ein neues Update gibt und Netcup hoffentlich dann die Signaturen wieder richtig rechnet. Aber wenn es jetzt blöd läuft, kann es bis zu 24h dauern, bis die neuerliche Änderung durch das DNS-System durchpropagiert ist. Bis dahin könnten manche Clients eine kaputte SOA-Signatur sehen. Grmph. Wieso habe ich es nur weisgesagt.

Zitat von [netcup] Alexander W.

Wir sind mit Hochdruck dran die DNSSEC Themen ein für alle mal zu fixen. Bitte gebt uns noch ein wenig Zeit.

Gibt es einen Zeitplan, bis wann die Fehler behoben sein sollen? Die Fehler scheinen teilweise schon Jahre alt zu sein. Reden wir von ein/zwei Monaten, einen halben Jahr oder erst in fünf?