Page 1 of 1

Folgen der Nutzung von .local TLD?

Posted: May 9th, 2017, 7:53 pm
by SamSpade
Michael hatte in seinem http://planet.ipfire.org/post/rolling-o ... the-masses geschrieben, man sollte .local als TLD meiden. Wie der Teufel es so will, habe ich das seinerzeit beim Update auf 106 wohl überlesen :o , bin aber bis vor kurzem dabei ohne einen einzigen Ausfall gut parat gekommen.

Nun hatte ich ja das Thema mit der Erreichbarkeit von zwei Subdomains von opnsense.org viewtopic.php?f=22&t=18670.

Ich habe die .TLD zwischenzeitlich im IPFire Setup und im DHCP Service wieder auf .localdomain geändert. Seitdem(?) sind die beiden Seiten wieder erreichbar ???

Kann die Verwendung von .local die Ursache für die Nichterreichbarkeit der beiden Seiten gewesen sein? Falls ja, wieso ist bis heute keine einzige andere Seite durch ein no-show aufgefallen?

Re: Folgen der Nutzung von .local TLD?

Posted: May 9th, 2017, 9:11 pm
by Alorotom
Hallo,

zwischen .local und Namensauflösung für opnsense.org besteht wohl eher kein Zusammenhang. Die Ursache dürfte vielmehr in den allgemein zahlreichen Themen im Zusammenhang mit unbound begründet liegen.

Den Beitrag von Michael habe ich jetzt nicht noch mal nachgelesen, aber dass .local unter allen Umständen zu vermeiden ist, dürfte überholt sein. Im Gegenteil. Das Problem bestand zunächst bei der Umstellung auf unbound. Damit einher ging die Anforderung, dass eigentlich nur echte Domains von unbound verarbeitet werden. Sprich, der wollte auch die internen Dinge DNSSEC validieren. Es wurde dann aber recht bald .local als *einzige* Ausnahme in unbound nachkonfiguriert. Alle anderen und damit auch die von Dir gewählte .localdomain werden jedoch von unbound nicht aufgelöst. Da kannst Du Dich jetzt natürlich fragen, wieso es geht.

Alorotom

Re: Folgen der Nutzung von .local TLD?

Posted: May 22nd, 2017, 12:25 pm
by Arne.F
Den Beitrag von Michael habe ich jetzt nicht noch mal nachgelesen, aber dass .local unter allen Umständen zu vermeiden ist, dürfte überholt sein. Im Gegenteil.
Korrekt.
.local ist jetzt immer in der Liste der nicht zu validierenden Domains. Wobei das auch nur wichtig ist wenn für die .local Auflösung ein anderer DNS Server als der lokale unbound verwendet wird.
Es wurde dann aber recht bald .local als *einzige* Ausnahme in unbound nachkonfiguriert.
Das stimmt nicht ganz. Es ist die Standard-Ausnahme. Man kann beliebige andere Hinzufügen.

in /etc/sysconfig/unbound
INSECURE_ZONES = .blah .blub