rec: The root denies its own DS with a NSEC(3)s from the child zone

author Remi Gacogne <remi.gacogne@powerdns.com>

Tue, 13 Jul 2021 16:29:50 +0000 (18:29 +0200)

committer Remi Gacogne <remi.gacogne@powerdns.com>

Tue, 13 Jul 2021 16:37:21 +0000 (18:37 +0200)
author Remi Gacogne <remi.gacogne@powerdns.com>
Tue, 13 Jul 2021 16:29:50 +0000 (18:29 +0200)
committer Remi Gacogne <remi.gacogne@powerdns.com>
Tue, 13 Jul 2021 16:37:21 +0000 (18:37 +0200)
diff --git a/pdns/recursordist/aggressive_nsec.cc b/pdns/recursordist/aggressive_nsec.cc

index d6b72d81f4765ce1f1374425bf0de6d94c96cce9..6260c45cd215852a1f5390823a8d0d78c582b6dc 100644 (file)
--- a/pdns/recursordist/aggressive_nsec.cc
+++ b/pdns/recursordist/aggressive_nsec.cc
@@ -558,7 +558,7 @@ bool AggressiveNSECCache::getNSEC3Denial(time_t now, std::shared_ptr<AggressiveN
        return false;
      }
  
-    if (type == QType::DS && signer == name) {
+    if (type == QType::DS && !name.isRoot() && signer == name) {
        LOG(" but this NSEC3 comes from the child zone and cannot be used to deny a DS");
        return false;
      }
@@ -601,7 +601,7 @@ bool AggressiveNSECCache::getNSEC3Denial(time_t now, std::shared_ptr<AggressiveN
          break;
        }
  
-      if (type == QType::DS && signer == name) {
+      if (type == QType::DS && !name.isRoot() && signer == name) {
          LOG(" but this NSEC3 comes from the child zone and cannot be used to deny a DS");
          return false;
        }
@@ -645,7 +645,7 @@ bool AggressiveNSECCache::getNSEC3Denial(time_t now, std::shared_ptr<AggressiveN
    }
  
    const DNSName nextCloserSigner = getSigner(nextCloserEntry.d_signatures);
-  if (type == QType::DS && nextCloserSigner == name) {
+  if (type == QType::DS && !name.isRoot() && nextCloserSigner == name) {
      LOG(" but this NSEC3 comes from the child zone and cannot be used to deny a DS");
      return false;
    }
@@ -685,7 +685,7 @@ bool AggressiveNSECCache::getNSEC3Denial(time_t now, std::shared_ptr<AggressiveN
        return false;
      }
  
-    if (type == QType::DS && wcSigner == name) {
+    if (type == QType::DS && !name.isRoot() && wcSigner == name) {
        LOG(" but this wildcard NSEC3 comes from the child zone and cannot be used to deny a DS");
        return false;
      }
@@ -711,7 +711,7 @@ bool AggressiveNSECCache::getNSEC3Denial(time_t now, std::shared_ptr<AggressiveN
      }
  
      const DNSName wcSigner = getSigner(wcEntry.d_signatures);
-    if (type == QType::DS && wcSigner == name) {
+    if (type == QType::DS && !name.isRoot() && wcSigner == name) {
        LOG(" but this wildcard NSEC3 comes from the child zone and cannot be used to deny a DS");
        return false;
      }
author	Remi Gacogne <remi.gacogne@powerdns.com>
	Tue, 13 Jul 2021 16:29:50 +0000 (18:29 +0200)
committer	Remi Gacogne <remi.gacogne@powerdns.com>
	Tue, 13 Jul 2021 16:37:21 +0000 (18:37 +0200)