По результатам Пирингового Форума 2017 в Москве, появилось ещё два регистратора национальных доменов RU/РФ с поддержкой DNSSEC, которые позволяют передавать DS-записи в реестр. Реализована как работа через веб-форму, так и через API. Это регистраторы atex.ru и domainshop.ru. Если Вы используете DNS CloudFlare, Amazon Route53 или Google DNS — регистрируйте домены у упомянутых регистраторов и пользуйтесь DNSSEC. Поддержка DNSSEC также есть у Reg.ru и в тестовой версии Nic.ru API, но они не лояльны к бизнесу.
As a result of the Russia Peering Forum 2017, two more registrars of national RU/РФ domains have implemented DNSSEC support and allow delegation of DS records to the registry. Implemented work through the web form, and through the API. This registrars Atex.ru and Domainshop.ru. If you use DNS CloudFlare, Amazon Route53 or Google DNS you can register domains from these registrars and use DNSSEC. Reg.ru and the test version of the Nic.ru API also support DNSSEC, but these companies are not loyal to the business.
DNSSEC is great!
Кстати, кого интересует всякий DNS, DNSCrypt, DNSSEC — welcome telegram.me
Мне требуются активные участники
В День Столетия Великой Октябрьской Социалистической Революции, который отмечается как и всё у нас — через одно место — 7-го ноября, Google Cloud DNS завез DNSSEC, который у нас "нинужин". УРА, ТОВАРИЩИ!!!!
cloudplatform.googleblog.com
RU: Случайно наткнулся на CoreDNS. Не знаю почему раньше мимо проходил. У него есть три прекрасные фишки: он на golang, он построен на плагинах, у него реализована подпись "на лету" в варианте "чёрная ложь" (как у CloudFlare).Осталось понять, насколько легко прицепить к нему бэкэнд и какой. Можно ли подписывать проксированные запросы? Это многое бы решило. Насколько сложно реализовать ответы с учетом ECS (собственно, адекватно сейчас это умеет только PowerDNS).
EN: Suddenly discovered the existence of CoreDNS. I do not know why only now. It has three excellent features: written in golang, based on plugin chains, can sign zone data on-the-fly with NSEC black lies (like Cloudflare).It remains to understand how easy it is to implement a new backend to it and which one. Is it possible to sign proxy requests? This would have solved a lot. How difficult it is to implement ECS-based answers (in fact, only PowerDNS can do now)?
Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).
Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.
slideshare.net
У меня в телеграме есть чатик по DNSSEC/DNSCrypt. Очень грустно разговаривать самому с собой. В FB и VK этим спамит тоже странно и бессмысленно. Вдруг кто чего. telegram.me
Знач, план такой:
Как привезут сервак, — сразу:
00) забэкапить DNS
01) восстановить в лабе, в изолированной сетке, затестить,
проверить что всё работает
02) навесить роль DNS/Doman Controller, установить одностороннее доверие
03) добавить SAMBA-файлопомойку вторичным контроллером к новому
04) поднять в виртуалке Win2016Nano для виндовых контейнеров
05) купить писюк под хост/ферму
06) всё это собрать в кластер, потестировать методом произвольного (наугад)
гашения отдельных элементов/узлов
07) поднять MatterMost, SpreeCommerce, OpenProject, MoinMoin, OwnClowd (CardDAV и т.д.) и т.д. и т.п.
08) написать документацию
09) поднять vSRX, сделать динамическую маршрутизацию, помечтать об автономке
10) поднять мониторинг
11) развернуть PostGre, сделать репликацию
12) отчёты и справочки в LDAP и обратно (из него)
13) BYOD
14) компьютерные курсы
15) добиться, чтобы всё это переживало 3 месяца моего отсутствия
...
16) PROFIT!!!
Обновил давно работающий у себя dnscrypt-proxy. Из доступных серверов не так много поддерживающих DNSSEC.
Про участие Яндекса не понял, типа и логи ведём, и даже dnssec не поддерживаем, ну и нахуй вы вообще нужны тогда?
Четыре инстанса: dnscrypt.eu-dk, ipredator, cloudns-syd, ns0.dnscrypt.is и unbound сверху.
Все на 443 портах, 53 наружу вообще заблокирован. Ибо нех. -> dnscrypt.org
Горячие cоседи, до которых от порога моего дома в четыре раза ближе, чем до вашей этой Москвы, меня часто восхищают. Шутка "До Таллинна далеко?" начала играть новыми красками. internet.ee — это эстонский аналог нашего КЦ, который cctld.ru
И вы не поверите, прямо с главной при государственной поддержке и финансировании Евросоюза отличные видео с котиками про DNSSEC. На русском: vimeo.com английском: vimeo.com
Молодцы. Теперь далеко.
Мне надоело мучать пустоту. Так хоть будет концентрация какая telegram.me
Приз первого конкретно попавшегося на протухшем DNSSEC вручается банку "Воронеж".
дотянул и опять чуть не забыл обновить ksk на реверсных зонах. кстати, а почему не педалят отказ от SHA1? я чёта очкую
давайте представим, что мы хотим написать программу, поддерживающую DNSSEC. например патч к wget. как правильно поступить? считать, что используемый DNS отдаёт проверенное, только смотреть флаг AD, или проверять самому? первое легче, второе явно безопаснее. копаем дальше — DANE...
ОК, теперь bakulin.de отдаёт корректный DNSSEC и подписан от самого ".".
Заебись, от Hetzner пришёл ответ, что мне нужно ставить другой secondary ns, поскольку ихний, которым я пользуюсь, не умеет DNSSEC.
Тем временем, я продолжаю попытки отправить в DENIC DS-запись для bakulin.de :-)
Практическое применение DNSSEC
habrahabr.ru
DNSSec: Что такое и зачем
habrahabr.ru
кстати, если DNSSEC — это шаг Гугля в войне щита и меча, то следующим шагом ожидаемо будет DANE искаропки в Chrome...
а, да. в связи с поддержкой DNSSEC гуглём и подписанием всех российских национальных доменов, опсосы могут начинать сворачивать свои DNS-фильтры
Google DNS стал поддерживать DNSSEC. можно передавать "приветы" все инициативам с реестром запрещённых сайтов на DPI. DANE+SNI провертят DPI на копье
В домене .RU заработал в DNSSEC. Теперь все корневые российские национальные домены подписаны. Жду когда местные регистраторы дадут возможность подписывать таки домены
dig +short diphost.ru | xargs dig +dnssec -x
короче, часть френдленточке должна икнуть :)))))
signature validity period решил сделать... 4 дня. вроде самое то да?
ну хорошо, вот у меня bind с проверкой dnssec, и чо? в логи он ругается мягко говоря странно... я как чо могу проверить-то?
вводить или нет ГОСТ в подпись? ksk и/или zsk?
оставлю это здесь forum.lissyara.su
отдельный вопрос — перенос домена между разными NS-серверами. как это сделать с DNSSEC достойно я не представляю
посмотрел на ldns... в общем, без шаманства намутить общий для сервера ksk не получится... этот тоже хочет каждому свой
и ещё про DNSSEC. есть какой-нибудь смысл в общей практике — каждой зоне совй KSK и свой ZSK? ведь для хостера более удобно делать один KSK и один ZSK на все поддерживаемые на сервере зоны. или я чего-то не понимаю?
а есть какие-нибудь тулзы работы с ключами/пописями на основе ldns? чтобы не зависеть от BIND? утилитами из example пользоваться стрёмно. есть какие-нибудь презентации по DNSSEC для администраторов DNS-серверов?
второй вопрос в dnssec — кто имеет край срока — ключ или rrsig? у меня bind 9.6, не умеет ключи делать по датам, но подпись ставится с границей. я не понимаю в итоге механизма
как посмотреть время подписи? блин, у меня дистрибутивный bind, я не понял как он по дефолту сделал
менеджер Directi ответил про DNSSEC "Thanks for your recommendation. I will forward this to the concerned team and if possible we will try and introduce it."
написал про DNSSEC в .mastername
написал менеджеру Directi запрос на DNSSEC. если ещё кто есть с Directi — задолбайте их :)