to post messages and comments.

@schors:

Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).

Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.

slideshare.net

@schors:

У меня в телеграме есть чатик по DNSSEC/DNSCrypt. Очень грустно разговаривать самому с собой. В FB и VK этим спамит тоже странно и бессмысленно. Вдруг кто чего. telegram.me

@Ilya-S-Zharskiy:

Знач, план такой:

Как привезут сервак, — сразу:

00) забэкапить DNS
01) восстановить в лабе, в изолированной сетке, затестить,
проверить что всё работает
02) навесить роль DNS/Doman Controller, установить одностороннее доверие
03) добавить SAMBA-файлопомойку вторичным контроллером к новому
04) поднять в виртуалке Win2016Nano для виндовых контейнеров
05) купить писюк под хост/ферму
06) всё это собрать в кластер, потестировать методом произвольного (наугад)
гашения отдельных элементов/узлов
07) поднять MatterMost, SpreeCommerce, OpenProject, MoinMoin, OwnClowd (CardDAV и т.д.) и т.д. и т.п.
08) написать документацию
09) поднять vSRX, сделать динамическую маршрутизацию, помечтать об автономке
10) поднять мониторинг
11) развернуть PostGre, сделать репликацию
12) отчёты и справочки в LDAP и обратно (из него)
13) BYOD
14) компьютерные курсы
15) добиться, чтобы всё это переживало 3 месяца моего отсутствия
...
16) PROFIT!!!

@praut:

Обновил давно работающий у себя dnscrypt-proxy. Из доступных серверов не так много поддерживающих DNSSEC.

Про участие Яндекса не понял, типа и логи ведём, и даже dnssec не поддерживаем, ну и нахуй вы вообще нужны тогда?

Четыре инстанса: dnscrypt.eu-dk, ipredator, cloudns-syd, ns0.dnscrypt.is и unbound сверху.

Все на 443 портах, 53 наружу вообще заблокирован. Ибо нех. -> dnscrypt.org

@schors:

Горячие cоседи, до которых от порога моего дома в четыре раза ближе, чем до вашей этой Москвы, меня часто восхищают. Шутка "До Таллинна далеко?" начала играть новыми красками. internet.ee — это эстонский аналог нашего КЦ, который cctld.ru
И вы не поверите, прямо с главной при государственной поддержке и финансировании Евросоюза отличные видео с котиками про DNSSEC. На русском: vimeo.com английском: vimeo.com
Молодцы. Теперь далеко.

@schors:

Мне надоело мучать пустоту. Так хоть будет концентрация какая telegram.me

@schors:

Приз первого конкретно попавшегося на протухшем DNSSEC вручается банку "Воронеж".

@schors:

дотянул и опять чуть не забыл обновить ksk на реверсных зонах. кстати, а почему не педалят отказ от SHA1? я чёта очкую

@schors:

давайте представим, что мы хотим написать программу, поддерживающую DNSSEC. например патч к wget. как правильно поступить? считать, что используемый DNS отдаёт проверенное, только смотреть флаг AD, или проверять самому? первое легче, второе явно безопаснее. копаем дальше — DANE...

@Kibab:

ОК, теперь bakulin.de отдаёт корректный DNSSEC и подписан от самого ".".

@Kibab:

Заебись, от Hetzner пришёл ответ, что мне нужно ставить другой secondary ns, поскольку ихний, которым я пользуюсь, не умеет DNSSEC.

@Kibab:

Тем временем, я продолжаю попытки отправить в DENIC DS-запись для bakulin.de :-)

@Gem:

Практическое применение DNSSEC
habrahabr.ru
DNSSec: Что такое и зачем
habrahabr.ru

@schors:

кстати, если DNSSEC — это шаг Гугля в войне щита и меча, то следующим шагом ожидаемо будет DANE искаропки в Chrome...

@schors:

а, да. в связи с поддержкой DNSSEC гуглём и подписанием всех российских национальных доменов, опсосы могут начинать сворачивать свои DNS-фильтры

@schors:

Google DNS стал поддерживать DNSSEC. можно передавать "приветы" все инициативам с реестром запрещённых сайтов на DPI. DANE+SNI провертят DPI на копье

@schors:

В домене .RU заработал в DNSSEC. Теперь все корневые российские национальные домены подписаны. Жду когда местные регистраторы дадут возможность подписывать таки домены

@schors:

dig +short diphost.ru | xargs dig +dnssec -x
короче, часть френдленточке должна икнуть :)))))

@schors:

signature validity period решил сделать... 4 дня. вроде самое то да?

@schors:

ну хорошо, вот у меня bind с проверкой dnssec, и чо? в логи он ругается мягко говоря странно... я как чо могу проверить-то?

@schors:

вводить или нет ГОСТ в подпись? ksk и/или zsk?

@schors:

оставлю это здесь forum.lissyara.su

@schors:

отдельный вопрос — перенос домена между разными NS-серверами. как это сделать с DNSSEC достойно я не представляю

@schors:

посмотрел на ldns... в общем, без шаманства намутить общий для сервера ksk не получится... этот тоже хочет каждому свой

@schors:

и ещё про DNSSEC. есть какой-нибудь смысл в общей практике — каждой зоне совй KSK и свой ZSK? ведь для хостера более удобно делать один KSK и один ZSK на все поддерживаемые на сервере зоны. или я чего-то не понимаю?

@schors:

а есть какие-нибудь тулзы работы с ключами/пописями на основе ldns? чтобы не зависеть от BIND? утилитами из example пользоваться стрёмно. есть какие-нибудь презентации по DNSSEC для администраторов DNS-серверов?

@schors:

второй вопрос в dnssec — кто имеет край срока — ключ или rrsig? у меня bind 9.6, не умеет ключи делать по датам, но подпись ставится с границей. я не понимаю в итоге механизма

@schors:

как посмотреть время подписи? блин, у меня дистрибутивный bind, я не понял как он по дефолту сделал

@schors:

менеджер Directi ответил про DNSSEC "Thanks for your recommendation. I will forward this to the concerned team and if possible we will try and introduce it."

@schors:

написал про DNSSEC в .mastername

@schors:

написал менеджеру Directi запрос на DNSSEC. если ещё кто есть с Directi — задолбайте их :)