{"id":302,"date":"2016-02-01T16:53:00","date_gmt":"2016-02-01T15:53:00","guid":{"rendered":"http:\/\/www.alvaromarin.com\/?p=302"},"modified":"2016-02-01T16:53:00","modified_gmt":"2016-02-01T15:53:00","slug":"cuando-los-resolvers-de-google-no-resuelven","status":"publish","type":"post","link":"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/","title":{"rendered":"Cuando los resolvers DNS de Google no resuelven"},"content":{"rendered":"<p>Cuando un dominio no resuelve en los <em>resolvers<\/em> DNS p\u00fablicos de Google (8.8.8.8 y 8.8.4.4), lo primero que piensas es que tiene alg\u00fan fallo en sus registros DNS (los NS de la zona, por ejemplo), que el dominio ha caducado&#8230;etc. Pero cuando compruebas que todo es correcto y que el resto de <em>resolvers<\/em> responden bien a a las consultas DNS, entonces se acaban las ideas.<\/p>\n<p>Buscando errores similares, llegu\u00e9 a un <a href=\"http:\/\/www.internetsociety.org\/deploy360\/blog\/2013\/05\/confirmed-googles-public-dns-now-performs-dnssec-validation-for-all-queries-by-default\/\" target=\"_blank\">art\u00edculo<\/a> que comentaba:<\/p>\n<p><em>Google\u2019s Public DNS service is now performing DNSSEC validation for all DNS queries by default!<br \/>\n&#8230;<br \/>\nWe have recently enabled validation by default globally, and you should now get SERVFAIL for validation failures.  Apologies again for the original, unclear announcement.<\/em><\/p>\n<p><!--more--><\/p>\n<p>Es decir, Google ha habilitado la validaci\u00f3n DNSSEC por defecto. El caso que nos ocupaba, sin embargo, no ten\u00eda registro DNSSEC alguno en la zona y a\u00fan as\u00ed, fallaba. Haciendo pruebas, usando la opci\u00f3n <em>+cd<\/em> del comando <em>dig<\/em>, que evita cualquier comprobaci\u00f3n DNSSEC, la resoluci\u00f3n era correcta (en este ejemplo, usamos un dominio de DNSSEC de pruebas):<\/p>\n<p><code>$ dig www.dnssec-failed.org @8.8.8.8 +short +cd<br \/>\n68.87.109.242<br \/>\n69.252.193.191<\/code><\/p>\n<p>pero, sin dicha opci\u00f3n, devuelve error:<\/p>\n<p><code>$ dig www.dnssec-failed.org @8.8.8.8<br \/>\n;; Got answer:<br \/>\n;; ->>HEADER<<- opcode: QUERY, status: <strong>SERVFAIL<\/strong>, id: 61010<\/code><\/p>\n<p>Por tanto, hay algo relativo a DNSSEC que est\u00e1 fallando. Tirando del hilo, existe un registro DNS llamado DS (punto 5 del <a href=\"http:\/\/www.rfc-editor.org\/rfc\/rfc4034.txt\" target=\"_blank\">RFC 4034<\/a>) que se usa para comprobar la confianza de la zona padre a la zona hija (recordemos la estructura de un dominio como un \u00e1rbol de zonas). En el caso del dominio anterior (y en el caso del dominio con el cu\u00e1l ten\u00edamos problemas), este registro existe:<\/p>\n<p><code>$ dig ds dnssec-failed.org +short<br \/>\n106 5 2 AE3424C9B171AF3B202203767E5703426130D76EF6847175F2EED355 F86EF1CE<br \/>\n106 5 1 4F219DCE274F820EA81EA1150638DABE21EB27FC<br \/>\n<\/code><\/p>\n<p>Pero como dec\u00eda, en la zona del dominio con el que ten\u00edamos el problema, no hab\u00eda nada relativo a DNSSEC, por tanto \u00bfde d\u00f3nde sale ese registro DS?<\/p>\n<p>Si miramos las zonas de los TLDs, vemos que la <a href=\"http:\/\/stats.research.icann.org\/dns\/tld_report\/\" target=\"_blank\">mayor\u00eda<\/a> tienen este registro ya a\u00f1adido. Por ejemplo, para el .org, se puede preguntar a un NS ra\u00edz por su registro:<\/p>\n<p><code><br \/>\n$ dig ds org @i.root-servers.net. +short<br \/>\n9795 7 2 3922B31B6F3A4EA92B19EB7B52120F031FD8E05FF0B03BAFCF9F891B FE7FF8E5<br \/>\n9795 7 1 364DFAB3DAF254CAB477B5675B10766DDAA24982<br \/>\n<\/code><\/p>\n<p>y si preguntamos a los servidores NS de la zona .org por el DS del dominio dnssec-failed.org:<\/p>\n<p><code>$ dig ds dnssec-failed.org @a0.org.afilias-nst.info. +short<br \/>\n106 5 1 4F219DCE274F820EA81EA1150638DABE21EB27FC<br \/>\n106 5 2 AE3424C9B171AF3B202203767E5703426130D76EF6847175F2EED355 F86EF1CE<br \/>\n<\/code><\/p>\n<p>tambi\u00e9n nos lo devuelve. Esto permite comprobar en cascada la veracidad de las respuestas a las consultas DNS de los servidores DNS de dicho dominio. Para saber c\u00f3mo funciona dicho registro y DNSSEC en general con m\u00e1s profundidad, en el <a href=\"http:\/\/blog.inittab.org\/administracion-sistemas\/dnssec-asegurando-las-respuestas-de-nuestro-dominio-la-teoria\/\" target=\"_blank\">Blog de Inittab<\/a> viene perfectamente explicado.<\/p>\n<p>Sin embargo, quien realmente a\u00f1ade el registro DS es el registrador del dominio (recordemos que este registro tiene que estar en la zona .net, .com, .org&#8230;etc y esto solo lo puede hacer el registrador) y efectivamente, entrando en el panel de control del <em>register<\/em> con el que est\u00e1 el dominio registrado, vemos que ten\u00eda una entrada DS a\u00f1adida. Una vez borrada \u00e9sta, ya que no existen m\u00e1s registros DNSSEC para el dominio y no se hace uso de sus funcionalidades, los <em>resolvers<\/em> de Google ya empiezan a responder correctamente. La otra opci\u00f3n, es implementar DNSSEC pero eso va m\u00e1s poco a poco y requiere de tiempo y bastantes pruebas.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cuando un dominio no resuelve en los resolvers DNS p\u00fablicos de Google (8.8.8.8 y 8.8.4.4), lo primero que piensas es que tiene alg\u00fan fallo en sus registros DNS (los NS de la zona, por ejemplo), que el dominio ha caducado&#8230;etc. &hellip; <a href=\"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/\">Sigue leyendo <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[12],"tags":[118,117,24,119],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v20.4 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Cuando los resolvers DNS de Google no resuelven - www.alvaromarin.com<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Cuando los resolvers DNS de Google no resuelven - www.alvaromarin.com\" \/>\n<meta property=\"og:description\" content=\"Cuando un dominio no resuelve en los resolvers DNS p\u00fablicos de Google (8.8.8.8 y 8.8.4.4), lo primero que piensas es que tiene alg\u00fan fallo en sus registros DNS (los NS de la zona, por ejemplo), que el dominio ha caducado&#8230;etc. &hellip; Sigue leyendo &rarr;\" \/>\n<meta property=\"og:url\" content=\"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/\" \/>\n<meta property=\"og:site_name\" content=\"www.alvaromarin.com\" \/>\n<meta property=\"article:published_time\" content=\"2016-02-01T15:53:00+00:00\" \/>\n<meta name=\"author\" content=\"Alvaro Mar\u00edn Illera\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"Alvaro Mar\u00edn Illera\" \/>\n\t<meta name=\"twitter:label2\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data2\" content=\"1 minuto\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/\",\"url\":\"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/\",\"name\":\"Cuando los resolvers DNS de Google no resuelven - www.alvaromarin.com\",\"isPartOf\":{\"@id\":\"http:\/\/www.alvaromarin.com\/#website\"},\"datePublished\":\"2016-02-01T15:53:00+00:00\",\"dateModified\":\"2016-02-01T15:53:00+00:00\",\"author\":{\"@id\":\"http:\/\/www.alvaromarin.com\/#\/schema\/person\/287057c6a545a612badd5caa00bfd0bf\"},\"breadcrumb\":{\"@id\":\"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Portada\",\"item\":\"http:\/\/www.alvaromarin.com\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Cuando los resolvers DNS de Google no resuelven\"}]},{\"@type\":\"WebSite\",\"@id\":\"http:\/\/www.alvaromarin.com\/#website\",\"url\":\"http:\/\/www.alvaromarin.com\/\",\"name\":\"www.alvaromarin.com\",\"description\":\"Blog sobre spam, sistemas antispam y correo electr\u00f3nico\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"http:\/\/www.alvaromarin.com\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"es\"},{\"@type\":\"Person\",\"@id\":\"http:\/\/www.alvaromarin.com\/#\/schema\/person\/287057c6a545a612badd5caa00bfd0bf\",\"name\":\"Alvaro Mar\u00edn Illera\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"es\",\"@id\":\"http:\/\/www.alvaromarin.com\/#\/schema\/person\/image\/\",\"url\":\"http:\/\/1.gravatar.com\/avatar\/d260aa4421f4ceb816fe98ba240bec2b?s=96&d=mm&r=g\",\"contentUrl\":\"http:\/\/1.gravatar.com\/avatar\/d260aa4421f4ceb816fe98ba240bec2b?s=96&d=mm&r=g\",\"caption\":\"Alvaro Mar\u00edn Illera\"},\"url\":\"http:\/\/www.alvaromarin.com\/author\/admin\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Cuando los resolvers DNS de Google no resuelven - www.alvaromarin.com","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/","og_locale":"es_ES","og_type":"article","og_title":"Cuando los resolvers DNS de Google no resuelven - www.alvaromarin.com","og_description":"Cuando un dominio no resuelve en los resolvers DNS p\u00fablicos de Google (8.8.8.8 y 8.8.4.4), lo primero que piensas es que tiene alg\u00fan fallo en sus registros DNS (los NS de la zona, por ejemplo), que el dominio ha caducado&#8230;etc. &hellip; Sigue leyendo &rarr;","og_url":"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/","og_site_name":"www.alvaromarin.com","article_published_time":"2016-02-01T15:53:00+00:00","author":"Alvaro Mar\u00edn Illera","twitter_misc":{"Escrito por":"Alvaro Mar\u00edn Illera","Tiempo de lectura":"1 minuto"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/","url":"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/","name":"Cuando los resolvers DNS de Google no resuelven - www.alvaromarin.com","isPartOf":{"@id":"http:\/\/www.alvaromarin.com\/#website"},"datePublished":"2016-02-01T15:53:00+00:00","dateModified":"2016-02-01T15:53:00+00:00","author":{"@id":"http:\/\/www.alvaromarin.com\/#\/schema\/person\/287057c6a545a612badd5caa00bfd0bf"},"breadcrumb":{"@id":"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/"]}]},{"@type":"BreadcrumbList","@id":"http:\/\/www.alvaromarin.com\/2016\/02\/01\/cuando-los-resolvers-de-google-no-resuelven\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Portada","item":"http:\/\/www.alvaromarin.com\/"},{"@type":"ListItem","position":2,"name":"Cuando los resolvers DNS de Google no resuelven"}]},{"@type":"WebSite","@id":"http:\/\/www.alvaromarin.com\/#website","url":"http:\/\/www.alvaromarin.com\/","name":"www.alvaromarin.com","description":"Blog sobre spam, sistemas antispam y correo electr\u00f3nico","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"http:\/\/www.alvaromarin.com\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"es"},{"@type":"Person","@id":"http:\/\/www.alvaromarin.com\/#\/schema\/person\/287057c6a545a612badd5caa00bfd0bf","name":"Alvaro Mar\u00edn Illera","image":{"@type":"ImageObject","inLanguage":"es","@id":"http:\/\/www.alvaromarin.com\/#\/schema\/person\/image\/","url":"http:\/\/1.gravatar.com\/avatar\/d260aa4421f4ceb816fe98ba240bec2b?s=96&d=mm&r=g","contentUrl":"http:\/\/1.gravatar.com\/avatar\/d260aa4421f4ceb816fe98ba240bec2b?s=96&d=mm&r=g","caption":"Alvaro Mar\u00edn Illera"},"url":"http:\/\/www.alvaromarin.com\/author\/admin\/"}]}},"_links":{"self":[{"href":"http:\/\/www.alvaromarin.com\/wp-json\/wp\/v2\/posts\/302"}],"collection":[{"href":"http:\/\/www.alvaromarin.com\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.alvaromarin.com\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.alvaromarin.com\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.alvaromarin.com\/wp-json\/wp\/v2\/comments?post=302"}],"version-history":[{"count":11,"href":"http:\/\/www.alvaromarin.com\/wp-json\/wp\/v2\/posts\/302\/revisions"}],"predecessor-version":[{"id":313,"href":"http:\/\/www.alvaromarin.com\/wp-json\/wp\/v2\/posts\/302\/revisions\/313"}],"wp:attachment":[{"href":"http:\/\/www.alvaromarin.com\/wp-json\/wp\/v2\/media?parent=302"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.alvaromarin.com\/wp-json\/wp\/v2\/categories?post=302"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.alvaromarin.com\/wp-json\/wp\/v2\/tags?post=302"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}