to post messages and comments.

RU: Случайно наткнулся на CoreDNS. Не знаю почему раньше мимо проходил. У него есть три прекрасные фишки: он на golang, он построен на плагинах, у него реализована подпись "на лету" в варианте "чёрная ложь" (как у CloudFlare).Осталось понять, насколько легко прицепить к нему бэкэнд и какой. Можно ли подписывать проксированные запросы? Это многое бы решило. Насколько сложно реализовать ответы с учетом ECS (собственно, адекватно сейчас это умеет только PowerDNS).
EN: Suddenly discovered the existence of CoreDNS. I do not know why only now. It has three excellent features: written in golang, based on plugin chains, can sign zone data on-the-fly with NSEC black lies (like Cloudflare).It remains to understand how easy it is to implement a new backend to it and which one. Is it possible to sign proxy requests? This would have solved a lot. How difficult it is to implement ECS-based answers (in fact, only PowerDNS can do now)?

Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).

Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.

slideshare.net

Знач, план такой:

Как привезут сервак, — сразу:

00) забэкапить DNS
01) восстановить в лабе, в изолированной сетке, затестить,
проверить что всё работает
02) навесить роль DNS/Doman Controller, установить одностороннее доверие
03) добавить SAMBA-файлопомойку вторичным контроллером к новому
04) поднять в виртуалке Win2016Nano для виндовых контейнеров
05) купить писюк под хост/ферму
06) всё это собрать в кластер, потестировать методом произвольного (наугад)
гашения отдельных элементов/узлов
07) поднять MatterMost, SpreeCommerce, OpenProject, MoinMoin, OwnClowd (CardDAV и т.д.) и т.д. и т.п.
08) написать документацию
09) поднять vSRX, сделать динамическую маршрутизацию, помечтать об автономке
10) поднять мониторинг
11) развернуть PostGre, сделать репликацию
12) отчёты и справочки в LDAP и обратно (из него)
13) BYOD
14) компьютерные курсы
15) добиться, чтобы всё это переживало 3 месяца моего отсутствия
...
16) PROFIT!!!

Обновил давно работающий у себя dnscrypt-proxy. Из доступных серверов не так много поддерживающих DNSSEC.

Про участие Яндекса не понял, типа и логи ведём, и даже dnssec не поддерживаем, ну и нахуй вы вообще нужны тогда?

Четыре инстанса: dnscrypt.eu-dk, ipredator, cloudns-syd, ns0.dnscrypt.is и unbound сверху.

Все на 443 портах, 53 наружу вообще заблокирован. Ибо нех. -> dnscrypt.org

Горячие cоседи, до которых от порога моего дома в четыре раза ближе, чем до вашей этой Москвы, меня часто восхищают. Шутка "До Таллинна далеко?" начала играть новыми красками. internet.ee — это эстонский аналог нашего КЦ, который cctld.ru
И вы не поверите, прямо с главной при государственной поддержке и финансировании Евросоюза отличные видео с котиками про DNSSEC. На русском: vimeo.com английском: vimeo.com
Молодцы. Теперь далеко.

давайте представим, что мы хотим написать программу, поддерживающую DNSSEC. например патч к wget. как правильно поступить? считать, что используемый DNS отдаёт проверенное, только смотреть флаг AD, или проверять самому? первое легче, второе явно безопаснее. копаем дальше — DANE...

В домене .RU заработал в DNSSEC. Теперь все корневые российские национальные домены подписаны. Жду когда местные регистраторы дадут возможность подписывать таки домены

и ещё про DNSSEC. есть какой-нибудь смысл в общей практике — каждой зоне совй KSK и свой ZSK? ведь для хостера более удобно делать один KSK и один ZSK на все поддерживаемые на сервере зоны. или я чего-то не понимаю?

а есть какие-нибудь тулзы работы с ключами/пописями на основе ldns? чтобы не зависеть от BIND? утилитами из example пользоваться стрёмно. есть какие-нибудь презентации по DNSSEC для администраторов DNS-серверов?

второй вопрос в dnssec — кто имеет край срока — ключ или rrsig? у меня bind 9.6, не умеет ключи делать по датам, но подпись ставится с границей. я не понимаю в итоге механизма