Чтобы добавлять сообщения и комментарии, .

@praut:
praut

Обновил давно работающий у себя dnscrypt-proxy. Из доступных серверов не так много поддерживающих DNSSEC.

Про участие Яндекса не понял, типа и логи ведём, и даже dnssec не поддерживаем, ну и нахуй вы вообще нужны тогда?

Четыре инстанса: dnscrypt.eu-dk, ipredator, cloudns-syd, ns0.dnscrypt.is и unbound сверху.

Все на 443 портах, 53 наружу вообще заблокирован. Ибо нех. -> dnscrypt.org

@schors:
schors

Горячие cоседи, до которых от порога моего дома в четыре раза ближе, чем до вашей этой Москвы, меня часто восхищают. Шутка "До Таллинна далеко?" начала играть новыми красками. internet.ee — это эстонский аналог нашего КЦ, который cctld.ru
И вы не поверите, прямо с главной при государственной поддержке и финансировании Евросоюза отличные видео с котиками про DNSSEC. На русском: vimeo.com английском: vimeo.com
Молодцы. Теперь далеко.

@schors:
schors

Мне надоело мучать пустоту. Так хоть будет концентрация какая telegram.me

@schors:
schors

Приз первого конкретно попавшегося на протухшем DNSSEC вручается банку "Воронеж".

@schors:
schors

дотянул и опять чуть не забыл обновить ksk на реверсных зонах. кстати, а почему не педалят отказ от SHA1? я чёта очкую

@schors:
schors

давайте представим, что мы хотим написать программу, поддерживающую DNSSEC. например патч к wget. как правильно поступить? считать, что используемый DNS отдаёт проверенное, только смотреть флаг AD, или проверять самому? первое легче, второе явно безопаснее. копаем дальше — DANE...

@Kibab:
Kibab

ОК, теперь bakulin.de отдаёт корректный DNSSEC и подписан от самого ".".

@Kibab:
Kibab

Заебись, от Hetzner пришёл ответ, что мне нужно ставить другой secondary ns, поскольку ихний, которым я пользуюсь, не умеет DNSSEC.

@Kibab:
Kibab

Тем временем, я продолжаю попытки отправить в DENIC DS-запись для bakulin.de :-)

@Gem:
Gem

Практическое применение DNSSEC
habrahabr.ru
DNSSec: Что такое и зачем
habrahabr.ru

@schors:
schors

кстати, если DNSSEC — это шаг Гугля в войне щита и меча, то следующим шагом ожидаемо будет DANE искаропки в Chrome...

@schors:
schors

а, да. в связи с поддержкой DNSSEC гуглём и подписанием всех российских национальных доменов, опсосы могут начинать сворачивать свои DNS-фильтры

@schors:
schors

Google DNS стал поддерживать DNSSEC. можно передавать "приветы" все инициативам с реестром запрещённых сайтов на DPI. DANE+SNI провертят DPI на копье

@schors:
schors

В домене .RU заработал в DNSSEC. Теперь все корневые российские национальные домены подписаны. Жду когда местные регистраторы дадут возможность подписывать таки домены

@schors:
schors

dig +short diphost.ru | xargs dig +dnssec -x
короче, часть френдленточке должна икнуть :)))))

@schors:
schors

signature validity period решил сделать... 4 дня. вроде самое то да?

@schors:
schors

ну хорошо, вот у меня bind с проверкой dnssec, и чо? в логи он ругается мягко говоря странно... я как чо могу проверить-то?

@schors:
schors

вводить или нет ГОСТ в подпись? ksk и/или zsk?

@schors:
schors

оставлю это здесь forum.lissyara.su

@schors:
schors

отдельный вопрос — перенос домена между разными NS-серверами. как это сделать с DNSSEC достойно я не представляю

@schors:
schors

посмотрел на ldns... в общем, без шаманства намутить общий для сервера ksk не получится... этот тоже хочет каждому свой

@schors:
schors

и ещё про DNSSEC. есть какой-нибудь смысл в общей практике — каждой зоне совй KSK и свой ZSK? ведь для хостера более удобно делать один KSK и один ZSK на все поддерживаемые на сервере зоны. или я чего-то не понимаю?

@schors:
schors

а есть какие-нибудь тулзы работы с ключами/пописями на основе ldns? чтобы не зависеть от BIND? утилитами из example пользоваться стрёмно. есть какие-нибудь презентации по DNSSEC для администраторов DNS-серверов?

@schors:
schors

второй вопрос в dnssec — кто имеет край срока — ключ или rrsig? у меня bind 9.6, не умеет ключи делать по датам, но подпись ставится с границей. я не понимаю в итоге механизма

@schors:
schors

как посмотреть время подписи? блин, у меня дистрибутивный bind, я не понял как он по дефолту сделал

@schors:
schors

менеджер Directi ответил про DNSSEC "Thanks for your recommendation. I will forward this to the concerned team and if possible we will try and introduce it."

@schors:
schors

написал про DNSSEC в .mastername

@schors:
schors

написал менеджеру Directi запрос на DNSSEC. если ещё кто есть с Directi — задолбайте их :)