¡Bienvenido a Seguridad!

El caso de instituciones educativas / gubernamentales es un caso particular de subdominio. Básicamente, la ICANN, que gobierna los nombres principales de Internet, delegó la administración del .au TLD al gobierno australiano (para que sea simple). Pero como .edu y .gov (et similia) son propiedad de EE. UU. Por razones históricas , Australia, al igual que algunos otros países, no tuvo más remedio que administrar su propio subdominio educativo dedicado bajo .au . Otros ejemplos son .gov.uk , .gov.it , etc. que hicieron elecciones similares.

Si usa la herramienta whois de Linux, puede encontrar información interesante. He resumido su salida

:~> whois au
% IANA WHOIS server
% for more information on IANA, visit http://www.iana.org
% This query returned 1 object

domain:       AU

organisation: .au Domain Administration (auDA)
address:      Lv 17
address:      1 Collins St
address:      Melbourne VIC 3000
address:      Australia


:~> whois edu.au
Domain Name: EDU.AU
Registry Domain ID: D407400000002449554-AU
Registrar WHOIS Server: whois.auda.ltd
Registrar URL: http://www.afilias.com.au
Last Modified:
Registrar Name: Afilias Australia Pty Ltd

:~> whois sydney.edu.au
Domain Name: SYDNEY.EDU.AU
Registry Domain ID: D407400000000057080-AU
Registrar WHOIS Server: whois.auda.org.au
Registrar URL: https://www.domainname.edu.au
Last Modified: 2018-07-17T00:59:06Z
Registrar Name: EDUCATION SERVICES AUSTRALIA LIMITED

Cada sujeto en la cadena es responsable de permitir que las partes registren subdominios. Por ejemplo, si su departamento de ciencias quiere registrar un subdominio, deben consultar Education Services Australia .

Experimento: intente registrar usrlocalechelon.edu.au en GoDaddy: no están autorizados a venderle eso

Experimento 2: enlace me ofrece el registro usrlocalechelon.edu.au para 41 AUD. En mi opinión, parece demasiado público, ya que puedes decir que eres una institución educativa en Australia si puedes pagar un dominio .edu.au .

Comentario: el sitio muestra un paso de "Detalles de elegibilidad" del registro, donde probablemente no podré registrar un dominio educativo de Australia porque no tengo autoridad para registrarme en eu. No me he molestado en intentar empujar al asistente hacia adelante.

Experimento 3 (que responde a la pregunta de seguridad)

enlace no NOT me permite registrar usrlocalechelon.sydney.edu.au porque

  

Requiere que el solicitante tenga intereses y responsabilidades nacionales o que se le reconozca y preste servicios en más de un estado o territorio

Resumiendo

Nunca puede solicitar su subdominio favorito en un registrador público, ya que los motivos técnicos requieren que pase por el propietario del dominio de nivel menos uno. DNS es jerárquico.

Pero si la organización que posee su dominio de tercer o cuarto nivel (como sydney.edu.au en el ejemplo) falla en el filtrado de aplicaciones de dominio, ese es su propio problema organizativo y no es una falla El sistema DNS.

Respuesta corta: No , los terceros no pueden registrar un subdominio sin la autorización del propietario del dominio.

DNS es un sistema jerárquico, ordenado de derecha a izquierda en el nombre de host. Quien tenga registrado un nombre de dominio determinado controla los servidores de nombres autorizados para ese dominio. Esto significa que todas las consultas (que no se responden desde el caché) para ese dominio o uno de sus subdominios se dirigirán a los servidores DNS de esa organización, lo que les otorga un control total sobre todos los subdominios. Por supuesto, pueden elegir delegar este control a otra persona si lo desean.

Por ejemplo, si me registrara reirab.com, si alguien consulta subdominio.reirab.com (y no hay caché involucrado), esto sucederá:

Su servidor DNS primero pediría a los servidores raíz el primer dominio desde la derecha, es decir, com. Se les devolverá un DNS registro NS que les indica el servidor de nombres autorizado para com.

Su servidor DNS enviaría una solicitud al servidor de nombres con autoridad com que descubrió en la solicitud anterior de reirab.com. Nuevamente obtendría una respuesta de registro NS que le indica el servidor de nombres autorizado para reirab.com.

Su servidor DNS ahora enviaría una solicitud al servidor de nombres autorizado de reirab.com para subdominio.reirab.com. Ya que sería propietario de reirab.com, tendría control total sobre este servidor de nombres autorizado. Sería un servidor que yo mismo poseo o un servidor externo en mi nombre. Los únicos subdominios que podrían ser devueltos (con autorización) para este dominio son aquellos para los que yo mismo he creado registros en ese servidor de nombres autorizado. La única forma de que alguien más registre un subdominio de reirab.com sería que me pidieran que lo configurara , ya que soy dueño del servidor de nombres autorizado para reirab.com y todas las solicitudes. porque sus subdominios serían canalizados a través de mi servidor.

Si quisiera delegar el control de algún subdominio a otra persona, lo haría exactamente de la misma manera que mi registrador me delegó el control de reirab.com: con un registro NS. Al agregar un registro NS para subdominio.reirab.com al servidor de nombres autorizado de reirab.com, puedo dirigir autoritativamente las solicitudes de subdominio.reirab.com y cualquiera de sus subdominios al servidor de nombres que figura en ese registro NS, que sería controlado por La organización a la que delegué el control de ese subdominio. Podría revocar esta delegación en cualquier momento eliminando o modificando ese registro NS.

Por cierto, 'www' no es tratado especialmente por DNS. Es solo otro nombre de host en el servidor DNS autoritario de su dominio. Es solo por convención que colocamos el registro de host (A o AAAA) para el servidor web de esa organización allí. Es probable que el registro A para www.exampledomain.com y somethingelse.exampledomain.com se encuentren en el mismo servidor: el servidor DNS de exampledomain.com.

Nota: esta respuesta ha simplificado un poco las cosas intencionalmente para el caso de alguien que solicita un registro DNS de Internet. Si la solicitud de un dominio proviene de la organización del dominio, es probable que la solicitud sea resuelta directamente por los servidores de nombres de la organización sin subir a la cadena a root-servers.net, los servidores de nombres de TLD, etc. En este caso, un host el nombre podría incluso resolverse a algo diferente de lo que se resolvería desde Internet, si la organización así lo elige.

Los registradores de DNS solo se preocupan por el registro del dominio principal, es decir, example.com . No les importa ningún subdominio como www.example.com o www.math.example.com y similares. Estos están en control total de la organización que posee el dominio principal, que también puede decidir delegar el control sobre estos dominios o algunos de estos dominios a otras partes.

Tenga en cuenta que un dominio primario no es necesariamente el domain.toplevel pero es domain.publicsuffix donde publicsuffix puede ser cosas como com pero también co.uk . Para obtener más información sobre estos, consulte publicsuffix.org .

  

¿El registro permitirá esto? ¿O existe un entendimiento implícito de que estos nombres de dominio están vinculados y no pueden ser obtenidos por terceros?

No hay ninguna razón técnica que no pudieron hacer esto, pero *. Los registros de DNS son administrados centralmente por servidores de nombres y los registros pueden y apuntan de cualquier manera. La naturaleza básica del texto de los registros de DNS requiere que sea tan liberal. De hecho, esta es la razón por la cual la falsificación y el hombre en el control medio de los servidores de DNS son un problema.

Dicho esto, hay reglas que los registros de nombres de dominio siguen a través de obligaciones contractuales. Romper estas reglas, es decir, permitir que otros registren subdominios en un dominio determinado sin el permiso del "propietario" (arrendatario) del dominio, estaría arriesgando un contrato muy lucrativo con el titular de dominio de nivel superior o ICANN. Entonces, la comprensión implícita que hace que sea difícil obtener un subdominio en el dominio de otra persona es simplemente el interés financiero del registrador.

Para combatir esto, son importantes otras técnicas como la firma de sitios ssl, certificados raíz de confianza o DNSSEC (extensiones de seguridad de DNS). * DNSSEC es el plan actual para combatir las vulnerabilidades en la resolución de DNS, mediante el cifrado de extremo a extremo y la validación de las solicitudes de DNS.

Soy dueño de un dominio, digamos "xyz.eu". Esto fue registrado en el DNS por un proveedor y les pago una tarifa anual (7 € por el nombre y 10 € por el alojamiento más barato).

Con una herramienta web simple en mi proveedor de alojamiento, puedo crear cualquier subdominio que me guste. Algunos están predefinidos: www.xyz.eu, smtp, mail, imap. No necesito el permiso de nadie y no pago nada adicional por los subdominios. Nadie más puede crear subdominios bajo mi dominio, solo a través de mí. Lo mismo ocurre con los buzones, como [email protected], solo yo puedo crearlos.

La mayoría de los datos están alojados en mi proveedor, hasta 10 GB. Con la ayuda de DDNS y algunas configuraciones en el proveedor, también puedo hacer un punto de subdominio a un servidor en mi casa, por ejemplo. Inicio.xyz.eu. Este servidor es solo una unidad flash de 32 GB conectada al enrutador, podría servir archivos de gran tamaño.