schors
DNS DNSSEC usher2 Ротация ключей DNSSEC прошла более менее успешно. Но конечно сообщают об поломках. У кого-то был на роутерах в микротиках старый ресолвер. Или вот в Monero ключ оказался зашит в код (бу-га-га!!).

schors
DNSSEC pf2017 По результатам Пирингового Форума 2017 в Москве, появилось ещё два регистратора национальных доменов RU/РФ с поддержкой DNSSEC, которые позволяют передавать DS-записи в реестр. Реализована как работа через веб-форму, так и через API. Это регистраторы atex.ru и domainshop.ru. Если Вы используете DNS CloudFlare, Amazon Route53 или Google DNS — регистрируйте домены у упомянутых регистраторов и пользуйтесь DNSSEC. Поддержка DNSSEC также есть у Reg.ru и в тестовой версии Nic.ru API, но они не лояльны к бизнесу.

As a result of the Russia Peering Forum 2017, two more registrars of national RU/РФ domains have implemented DNSSEC support and allow delegation of DS records to the registry. Implemented work through the web form, and through the API. This registrars Atex.ru and Domainshop.ru. If you use DNS CloudFlare, Amazon Route53 or Google DNS you can register domains from these registrars and use DNSSEC. Reg.ru and the test version of the Nic.ru API also support DNSSEC, but these companies are not loyal to the business.
DNSSEC is great!
schors
Google DNSSEC В День Столетия Великой Октябрьской Социалистической Революции, который отмечается как и всё у нас — через одно место — 7-го ноября, Google Cloud DNS завез DNSSEC, который у нас "нинужин". УРА, ТОВАРИЩИ!!!!
cloudplatform.googleblog.com
schors
DNSSEC coredns RU: Случайно наткнулся на CoreDNS. Не знаю почему раньше мимо проходил. У него есть три прекрасные фишки: он на golang, он построен на плагинах, у него реализована подпись "на лету" в варианте "чёрная ложь" (как у CloudFlare).Осталось понять, насколько легко прицепить к нему бэкэнд и какой. Можно ли подписывать проксированные запросы? Это многое бы решило. Насколько сложно реализовать ответы с учетом ECS (собственно, адекватно сейчас это умеет только PowerDNS).
EN: Suddenly discovered the existence of CoreDNS. I do not know why only now. It has three excellent features: written in golang, based on plugin chains, can sign zone data on-the-fly with NSEC black lies (like Cloudflare).It remains to understand how easy it is to implement a new backend to it and which one. Is it possible to sign proxy requests? This would have solved a lot. How difficult it is to implement ECS-based answers (in fact, only PowerDNS can do now)?
schors
ссылка DNS DNSSEC Я уже несколько лет прошу регистраторов доменов RU/РФ реализовать поддержку DNSSEC в API. На сегодняшний день я не знаю ни одного такого регистратора (именно RU/РФ). Я изучил вопрос и понял, что регистраторы не понимают объём работ, а нормальной разъяснительной документации не то что на русском, да и на английском нет. Есть нудные спецификации c перекрестными ссылками, на которых можно уснуть. Неплохие статьи есть у замечательного сервиса CloudFlare. Но они специфичны для CloudFlare и не раскрывают например части работы с регистратором (и некоторые другие, впрочем).

Я решил сделать мир лучше и подготовил руководство по DNSSEC для регистраторов доменов. Это руководство выполнено в стиле презентации для лучшего восприятия. Однако его можно использовать и как краткий справочник. В нём собраны только те части технологии, которые касаются регистратора домена. Подробно всё разложено по полочкам, даны рекомендации, примеры кода и дополнительные факультативные сведения. Руководство подходит не только для доменов RU/РФ, но и для всех остальных.

slideshare.net
schors
DNSSEC У меня в телеграме есть чатик по DNSSEC/DNSCrypt. Очень грустно разговаривать самому с собой. В FB и VK этим спамит тоже странно и бессмысленно. Вдруг кто чего. telegram.me
Ilya-S-Zharskiy
DNSSEC Active-Directory localdomain сеть_предприятия корпоративный_портал Знач, план такой:

Как привезут сервак, — сразу:

00) забэкапить DNS
01) восстановить в лабе, в изолированной сетке, затестить,
проверить что всё работает
02) навесить роль DNS/Doman Controller, установить одностороннее доверие
03) добавить SAMBA-файлопомойку вторичным контроллером к новому
04) поднять в виртуалке Win2016Nano для виндовых контейнеров
05) купить писюк под хост/ферму
06) всё это собрать в кластер, потестировать методом произвольного (наугад)
гашения отдельных элементов/узлов
07) поднять MatterMost, SpreeCommerce, OpenProject, MoinMoin, OwnClowd (CardDAV и т.д.) и т.д. и т.п.
08) написать документацию
09) поднять vSRX, сделать динамическую маршрутизацию, помечтать об автономке
10) поднять мониторинг
11) развернуть PostGre, сделать репликацию
12) отчёты и справочки в LDAP и обратно (из него)
13) BYOD
14) компьютерные курсы
15) добиться, чтобы всё это переживало 3 месяца моего отсутствия
...
16) PROFIT!!!
praut
DNS DNSSEC DNSCrypt Обновил давно работающий у себя dnscrypt-proxy. Из доступных серверов не так много поддерживающих DNSSEC.

Про участие Яндекса не понял, типа и логи ведём, и даже dnssec не поддерживаем, ну и нахуй вы вообще нужны тогда?

Четыре инстанса: dnscrypt.eu-dk, ipredator, cloudns-syd, ns0.dnscrypt.is и unbound сверху.

Все на 443 портах, 53 наружу вообще заблокирован. Ибо нех. -> dnscrypt.org
schors
DNSSEC Горячие cоседи, до которых от порога моего дома в четыре раза ближе, чем до вашей этой Москвы, меня часто восхищают. Шутка "До Таллинна далеко?" начала играть новыми красками. internet.ee — это эстонский аналог нашего КЦ, который cctld.ru
И вы не поверите, прямо с главной при государственной поддержке и финансировании Евросоюза отличные видео с котиками про DNSSEC. На русском: vimeo.com английском: vimeo.com
Молодцы. Теперь далеко.
schors
DNSSEC дотянул и опять чуть не забыл обновить ksk на реверсных зонах. кстати, а почему не педалят отказ от SHA1? я чёта очкую
schors
DNSSEC давайте представим, что мы хотим написать программу, поддерживающую DNSSEC. например патч к wget. как правильно поступить? считать, что используемый DNS отдаёт проверенное, только смотреть флаг AD, или проверять самому? первое легче, второе явно безопаснее. копаем дальше — DANE...
Kibab
DNS DNSSEC Заебись, от Hetzner пришёл ответ, что мне нужно ставить другой secondary ns, поскольку ихний, которым я пользуюсь, не умеет DNSSEC.
schors
хостинг DNS DNSSEC а, да. в связи с поддержкой DNSSEC гуглём и подписанием всех российских национальных доменов, опсосы могут начинать сворачивать свои DNS-фильтры
schors
хостинг DNS DNSSEC Google DNS стал поддерживать DNSSEC. можно передавать "приветы" все инициативам с реестром запрещённых сайтов на DPI. DANE+SNI провертят DPI на копье
schors
DNS DNSSEC В домене .RU заработал в DNSSEC. Теперь все корневые российские национальные домены подписаны. Жду когда местные регистраторы дадут возможность подписывать таки домены
schors
DNS DNSSEC ну хорошо, вот у меня bind с проверкой dnssec, и чо? в логи он ругается мягко говоря странно... я как чо могу проверить-то?
schors
вопрос DNS DNSSEC и ещё про DNSSEC. есть какой-нибудь смысл в общей практике — каждой зоне совй KSK и свой ZSK? ведь для хостера более удобно делать один KSK и один ZSK на все поддерживаемые на сервере зоны. или я чего-то не понимаю?
schors
вопрос DNS DNSSEC а есть какие-нибудь тулзы работы с ключами/пописями на основе ldns? чтобы не зависеть от BIND? утилитами из example пользоваться стрёмно. есть какие-нибудь презентации по DNSSEC для администраторов DNS-серверов?
schors
DNSSEC второй вопрос в dnssec — кто имеет край срока — ключ или rrsig? у меня bind 9.6, не умеет ключи делать по датам, но подпись ставится с границей. я не понимаю в итоге механизма