forum.opennet.ru - "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC" (242)

"Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC"	+/–
Сообщение от opennews (??), 31-Янв-24, 11:33
30 января в 18:20 (MSK) пользователи столкнулись с массовым сбоем определения хостов в доменной зоне RU, вызванный ошибкой при смене ключей, используемых для заверения достоверности зоны RU через DNSSEC. В результате инцидента на DNS-серверах, применяющих DNSSEC для проверки достоверности данных, перестали определяться все домены в зоне ".ru". Проблема затронула только пользователей, использующих DNS-резолверы провайдеров или публичные DNS-сервисы, такие как 8.8.8.8, верифицирующие достоверность запросов при помощи DNSSEC. Пользователей DNS-резолверов, на которых DNSSEC отключён, не пострадали... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=60527
Ответить \| Правка \| Cообщить модератору

Оглавление

А в чем ошибка была, собственно , Аноним (1), 11:33 , 31-Янв-24, (1) –2

Записи в зоне RU другим ключом подписали, не тем, что указан в записи DNSKEY Он, Аноним (9), 11:44 , 31-Янв-24, (9) +15

А почему давно не запилили, DNS разве не на СПО зиждится , Аноним (28), 11:58 , 31-Янв-24, (28) –8

Причем тут СПО и зачем что-то пилить Косплеить корневой сервер можно хоть на MS , Ананий (?), 13:10 , 31-Янв-24, (77) +2

Похоже, у них там свой набор верхних корневых днс-серверов Его ключом и подписа, Аноним (36), 12:15 , 31-Янв-24, (36) –5

Скрыто модератором, Бывалый смузихлёб (?), 12:28 , 31-Янв-24, (42) +7

Скрыто модератором, Аноним (51), 12:39 , 31-Янв-24, (51) +1

А какой смысл использовать разные ключи , Аноним (37), 12:15 , 31-Янв-24, (37)
НСДИ они тоже положили Но поскольку это кого надо НСДИ, там быстренько почистил, нах. (?), 12:44 , 31-Янв-24, (52) +2

Наверное больше потому, что от НСДИ почти никто из потребительского сегмента пок, Аноним (54), 12:49 , 31-Янв-24, (54) +1

Еще как уже зависят Просто тебе об этом не доложат Просто поскольку он сам себе, нах. (?), 12:52 , 31-Янв-24, (55) +2

Докладываю ни один провайдер долго не проработает, если его днс-серверы не буду, San (??), 13:24 , 31-Янв-24, (85) +1

А чего тут тогда все у всех навернулось Они ж там всепачинили через пять минут , нах. (?), 13:27 , 31-Янв-24, (86) +1
Есть разные схемы подключения к НСДИ , Ivan_83 (ok), 14:38 , 31-Янв-24, (122)

Быстренько Да он минут 20 косплеил под всех отвечая на всё SRVFAIL А потом там, Аноним (154), 15:08 , 31-Янв-24, (154) +3

может железке по середке не установили новый ключ , Sw00p aka Jerom (?), 15:08 , 31-Янв-24, (153)

Здесь все намного проще Перед выборами шaтaют не только интернет, но и сотовую , Bonjovi (?), 12:20 , 31-Янв-24, (39) –6

4ебурнет на завершающей стадии, Аноним (215), 21:14 , 31-Янв-24, (215) –5

ЯПОЭЗ https sockpuppet org blog 2015 01 15 against-dnssec , Аноним (2), 11:34 , 31-Янв-24, (2) +1

1DNSSec для конечных потребителей устарел с тех пор как гугл всех на https натя, Ivan_83 (ok), 12:53 , 31-Янв-24, (57) –1

DNSSec - это защита от недобросовестности Гугла, не , Аноним (63), 12:56 , 31-Янв-24, (63) –3

Нет Это когда то ходили байки что можно отравить кеш резолвера посылая ему посто, Ivan_83 (ok), 13:08 , 31-Янв-24, (75) +2

да он и раньше-то нахрен был не нужен Очередная диверсия от профессоров далеких, нах. (?), 13:30 , 31-Янв-24, (88) –1

Я не дебажил Перезапустил пару раз unbound ради интереса, надеялся что отвалится, Ivan_83 (ok), 13:37 , 31-Янв-24, (94) +1

а там на диске нет кэша gtld там вопрос в том чтоб тебе glue records отдал - , нах. (?), 14:48 , 31-Янв-24, (136)

На диске вроде никаких кешей нет, только рутовые сервера и может их ключи DNSSec, Ivan_83 (ok), 15:21 , 31-Янв-24, (159)

Ну да выходит валидатор выключил и не увидел возможной подмены днс, в то время к, fuggy (ok), 19:28 , 31-Янв-24, (202) +1

Покажите мне успешные атаки на отравление кеша, тогда будет иметь смысл продолжа, Ivan_83 (ok), 19:57 , 31-Янв-24, (208)

Твоя безопасность - это твое дело Никто не должен тебе ничего доказывать , Sem (??), 18:40 , 01-Фев-24, (244)

Ну не скажите Допустим у Вас очень большое количество пользователей ведут перепи, suffix (ok), 16:55 , 01-Фев-24, (243) +1

Бывает Не бывает У всех пользователей уже стоит Outlook, в котором шифрование е, Аноним (255), 20:06 , 01-Фев-24, (255)

Свидетельство канарейки Да уж можно и не включать Наверняка ещё пару эксперимен, Карлос Сношайтилис (ok), 11:38 , 31-Янв-24, (3)

И по http ходить на всякий случай Вдруг он тоже сломается , keydon (ok), 11:58 , 31-Янв-24, (27)

Через http Ростелеком незаконно наталкивает в чужие сайты свою рекламу, а пользо, rvs2016 (ok), 12:08 , 31-Янв-24, (35) +1

По http вроде бы как можно было заблокировать конкретную страницу, на которой и , Бывалый смузихлёб (?), 12:24 , 31-Янв-24, (41)

Да Можно заблокировать только одну страницу И РКН в своём требовании к провайд, rvs2016 (ok), 12:30 , 31-Янв-24, (43) +1

Они порой ничего не пишут - страница тупо не открывается, падая по превышению вр, Бывалый смузихлёб (?), 13:36 , 31-Янв-24, (92)

Лол, таким еще кто-то занимается Помню пяток лет назад этим сначала стали промыш, Ананий (?), 13:16 , 31-Янв-24, (80)

Ага Занимаются да притом ещё как После того, как мы наши сайты на https переклю, rvs2016 (ok), 13:39 , 31-Янв-24, (96) +1

Можете точнее написать в каких RSS остаются ссылки на http Я вроде очень давно , Maxim Chirkov (ok), 14:04 , 31-Янв-24, (107)

http www opennet ru openforum forum_vsluhforumID4 rsshttps www opennet ru op, rvs2016 (ok), 14:20 , 31-Янв-24, (112)

Поправил, теперь там только https , Maxim Chirkov (ok), 16:54 , 31-Янв-24, (170)

У меня так opennet в закладках оставался как http После переустановки ос сначал, Аноним (114), 14:22 , 31-Янв-24, (114)
На http сайт сейчас еще постараться надо, чтобы зайти Все хромо-клоны верещат к, Анонимщик (?), 10:45 , 03-Фев-24, (280)

Как постоянный пользователь Мегафона подтверждаю, тоже регулярно вставляет рекла, Аноним (222), 22:27 , 31-Янв-24, (222) +1

У меня мой сайт только по http, https есть но там самоподписной сертификат Нет с, Ivan_83 (ok), 12:55 , 31-Янв-24, (61) –3

У тебя уже ж есть не легший под американцев аналоговнеимеющей браузер который н, нах. (?), 13:35 , 31-Янв-24, (91)

Подключён, и иногда на него даже кто то попадает Но в целом там странное и мал, Ivan_83 (ok), 13:38 , 31-Янв-24, (95)

ну так с тем же успехом мог бы и вообще его выключить, надежно, безопастно, днс , нах. (?), 14:41 , 31-Янв-24, (125)

Я тоже чтобы поделится В своё время послал хубр и перетащил всё к себе Но это ве, Ivan_83 (ok), 15:11 , 31-Янв-24, (156)

Ну когда пользователям на http-сайте пишешь про то, что, дескать, тоарищи, помой, rvs2016 (ok), 13:45 , 31-Янв-24, (97) +1

У меня нет такой проблемы, а проблемы абонентом ростелекома меня не волнуют, впр, Ivan_83 (ok), 14:40 , 31-Янв-24, (124) +1

Какие заголовки надо с веб-сервера отправить вместе со страницей в браузер польз, rvs2016 (ok), 18:23 , 31-Янв-24, (184)

Читайте про Content-Security-Policy заголовок , Ivan_83 (ok), 19:05 , 31-Янв-24, (191)

Почитал Заголовок-то интересный Но узел, через который от веб-сервера к веб-брау, rvs2016 (ok), 19:20 , 31-Янв-24, (199)

кстати, когда я увидел таки единственный раз правда не ростелек а мегафон на л, нах. (?), 14:43 , 31-Янв-24, (128)

Надуюсь подробный публичный отчет будет по инциденту Не очень красиво получилос, Аноним (4), 11:40 , 31-Янв-24, (4) +4

Надуюсь, если не будет, а так надеюсь , Аноним (4), 11:41 , 31-Янв-24, (6) +6
Он будет, но вам его не покажут Если вы не с той стороны социума, конечно, 12yoexpert (ok), 11:59 , 31-Янв-24, (29) +6

На днях кажись, в минувшую пятницу Ночь-раннее утро примерно так же отвалили, Бывалый смузихлёб (?), 12:33 , 31-Янв-24, (47) –4

не падения сети нужно двигать, а , 12yoexpert (ok), 13:04 , 31-Янв-24, (71)

да, у товарищмайора-то на столе лежит, учения по мягкому принуждению на переключ, нах. (?), 14:44 , 31-Янв-24, (131)

Это должен быть не отчет, а процесс Ибо - повреждение критической инфраструктур, Аноним (46), 12:33 , 31-Янв-24, (46) +2

Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..., Аноним (233), 05:19 , 01-Фев-24, (233) +2

Ждем пополнения списка https ianix com pub dnssec-outages html, Аноним (1), 11:41 , 31-Янв-24, (5) +3

Фигасебе списочек там В какую интересно номинацию попадет Мне очень зашла Long, Аноним (4), 11:48 , 31-Янв-24, (14)

Вчера половина рунета отвалилась, да Затронуло в основном пользователей DoH, ос, Аноним (7), 11:42 , 31-Янв-24, (7) –4

Максимум увидишь SEC_ERROR_UNKNOWN_ISSUER , Пряник (?), 11:53 , 31-Янв-24, (20) –1

Страшно-страшно, браузер отказался открывать , Аноним (7), 11:56 , 31-Янв-24, (23)

Отключил временно DNSSEC на домашнем сервере, всё заработало , Random (??), 12:23 , 31-Янв-24, (40) –1
Потому что DoH DoT и публичные 8 8 8 8 и пр аналоги держат те же дятлы которые н, Ivan_83 (ok), 12:58 , 31-Янв-24, (64) –5

Ну вот год назад вроде мега отвалилась, сейчас какие-то бесполезные сайты в руне, Аноним (7), 13:09 , 31-Янв-24, (76)

А зачем его включать когда большая часть трафика под TLS , Ivan_83 (ok), 13:22 , 31-Янв-24, (84) –1

Чтобы не подменяли сайты на подконтрольные Толку от tls, когда сертификаты част, Аноним (7), 13:36 , 31-Янв-24, (93)

Вы поддразумеваете что надо проделать огромную работу по отравлению кеша и выпус, Ivan_83 (ok), 13:47 , 31-Янв-24, (99)

Ты ещё скажи митм никому не интересен, а последние 10 лет нам всем приснились В, Аноним (7), 13:51 , 31-Янв-24, (104) +1

Так покажите где на MiTM кто то поднялся, я видел всё от госов, а у них для этог, Ivan_83 (ok), 14:46 , 31-Янв-24, (135) +1

пойсон атаки подразумевают некого внешнего злыдня, а если злыдень - это провайде, Ананий (?), 14:32 , 31-Янв-24, (117) –1

Я зато занимался исплементацией DNS протокола и собственного рекурсера с кешем , Ivan_83 (ok), 14:49 , 31-Янв-24, (137)

И какие защиты от спуффинга вы в вашем рекурсере применяли Расскажите, раз вы т, Sem (??), 18:48 , 01-Фев-24, (245)

Как хорошо что есть личный локальный ресолвер Причём тут DoH Зависит от операто, fuggy (ok), 18:53 , 31-Янв-24, (188)

Четыре восьмёрки первыми начали подменять трафик в своё время, осадочек остался , Аноним (7), 19:06 , 31-Янв-24, (192)

Да-да, и проблема сто процентов в Гугле, а не в твоём провайдере, который 8 8 8 , Аноним (255), 19:39 , 31-Янв-24, (205) +1

О чём и речь А что смешного тебе Думаешь, в твоей стране такого не случится М, Аноним (7), 19:50 , 31-Янв-24, (206) –1

В моей стране принято соблюдать законы, регулятор не имеет доступа к инфраструкт, Аноним (255), 21:23 , 31-Янв-24, (216)

Даже если так, времени жить в мире розовых пони у тебя буквально до следующей ло, Аноним (7), 00:47 , 01-Фев-24, (227) –1

Так то есть маленькие страны, где ты даже если инет отключишь то мобила просто ч, Ivan_83 (ok), 06:54 , 01-Фев-24, (236)
Понимаю, что для мордорцев это мир розовых пони Только вот я в этом мире розовы, Аноним (255), 20:04 , 01-Фев-24, (254) –1

Времена меняются, да То, что законодательства да и сфера айти в целом отдельн, Аноним (7), 20:31 , 01-Фев-24, (258)

Компания существует с 1964 года, оказывает телекоммуникационные услуги с 1995, к, Аноним (255), 21:28 , 01-Фев-24, (259)

Ты всё правильно понял, крупнейший провайдер это карманный провайдер, других вар, Аноним (7), 21:40 , 01-Фев-24, (260)

Кто вообще управляет DNS ами , Аноним (8), 11:42 , 31-Янв-24, (8)

РОСНИИРОС КИАЭ, Аноним (2), 11:44 , 31-Янв-24, (10)

Это прям ну ооочень устаревшая информация , Sem (??), 18:50 , 01-Фев-24, (246)

whois ru, OpenEcho (?), 11:57 , 31-Янв-24, (25)
ЦМУ ССОП же, что за вопросы, Аноним (114), 14:36 , 31-Янв-24, (119)

Еще один повод перейти на зону Onion , Аноним (11), 11:47 , 31-Янв-24, (11) –2

Там домены слишком сложные, еще вопрос что будет проще запомнить домен onion ил, Аноним (4), 11:52 , 31-Янв-24, (18) +3

Ты же на сайты, которые посещаешь, не вручную домены набираешь, а по закладкам, , Аноним (28), 11:55 , 31-Янв-24, (22)

50 на 50, если домен знаю наизусть то могу себе позволить нажать ctrl T и начать, Аноним (4), 12:01 , 31-Янв-24, (30) +2

а я чёт закладками никогда не пользовался, в ff по ним абсолютно неюзабельный по, 12yoexpert (ok), 12:06 , 31-Янв-24, (32) –1

в начале строки и ищет по букмаркам Еще есть неплохая фишка с keywords, можно, Аноним (83), 13:20 , 31-Янв-24, (83)

прикольно, спс я в панельке по ctrl b пытался искать, 12yoexpert (ok), 13:31 , 31-Янв-24, (90) –1

Вручную По закладкам ходить долго и неудобно Их, конечно, для удобства могут в, rvs2016 (ok), 12:16 , 31-Янв-24, (38) +1

Смысл закладок в том, что в поиске в адресной строке они вылезают даже при очище, Аноним (44), 12:32 , 31-Янв-24, (44)

Скрыто модератором, Аноним (255), 18:22 , 31-Янв-24, (183)

Скрыто модератором, rvs2016 (ok), 22:55 , 31-Янв-24, (224)

Закладки ещё нужно чтобы вместо легального сайта не переходить на какой-нибудь , fuggy (ok), 19:55 , 31-Янв-24, (207)

главное даже не запомнить а найти в принципе - и быть хоть как-то уверенным что , нах. (?), 13:04 , 31-Янв-24, (70) +1
Там был какой-то преобразователь aw34awfsdfa3rsdfasdf23r3q4rwedzfdsr3rqwefd onio, Аноним (2), 16:47 , 31-Янв-24, (169)

gemini ещё есть Ещё в i2p неплохая идея, но нет клиентов один на джаве, второй, 12yoexpert (ok), 11:57 , 31-Янв-24, (26)

Gemini не работают без доменных имён, а следовательно и какого-нибудь DNS, что о, Аноним (34), 12:08 , 31-Янв-24, (34)

gns от gnu, 12yoexpert (ok), 13:02 , 31-Янв-24, (68) –1

Скрыто модератором, Аноним (-), 16:32 , 31-Янв-24, (167)

А зачем вообще менять ключ на аналогичный но параметрам, а не, например, постква, Аноним (28), 11:47 , 31-Янв-24, (12) –5

Время жизни ключа ограничена, поэтому регулярно выполняют ротацию ключей , Аноним (9), 11:50 , 31-Янв-24, (16) +4

Он спросил зачем, а не почему Ключи меняются на случай утечки, так менее реальн, Аноним (7), 11:54 , 31-Янв-24, (21)

Раз в три месяца планово заменяются ключи, типа защита на случай если ключ скомп, Аноним (9), 12:05 , 31-Янв-24, (31)

мысль о том что система автозамены ключей и есть наиболее вероятная точка компро, нах. (?), 12:58 , 31-Янв-24, (65) –3

Случаи подмены ключей палятся очень быстро через сверку ключей полученных их раз, Аноним (130), 14:44 , 31-Янв-24, (130)

так они будут - одинаковые Никакой другой подмены в принципе быть не может Уров, нах. (?), 14:45 , 31-Янв-24, (133)

Не будут Допустим утёк ключ зоны и новый владелец рассылает информацию, что, Аноним (130), 14:50 , 31-Янв-24, (139)

и Ключ у тебя - уже утек Все ключи правильно подписаны и переподписаны ничем ем, нах. (?), 14:56 , 31-Янв-24, (143)

Только вот помимо липового ключа нужно иметь доступ к каждому корневому серверу , Аноним (130), 15:02 , 31-Янв-24, (147)

Если ключи одинаковые, то где подмена Я вам ключ подменил на тот же самый , Sem (??), 18:55 , 01-Фев-24, (247)

DNSSec ни от чего, тем более массового не защищает, не нужно сочинять , Ivan_83 (ok), 15:13 , 31-Янв-24, (157) –1

DNSSEC защищает от подделки DNS-записей Конечно от полноценного MITM он не спас, Аноним (130), 17:59 , 31-Янв-24, (176)

Вы для начала в реальной жизни попробуйте отравить кеш резолвера, потом будете р, Ivan_83 (ok), 19:08 , 31-Янв-24, (194) +1

https www iana org dnssec ceremonies, Sw00p aka Jerom (?), 03:22 , 01-Фев-24, (231)

Небось ключи в зип архиве случайные люди шлют по электронке, а потом какой-нибуд, Аноним (48), 12:33 , 31-Янв-24, (48) –3

я тебя расстрою, наверное, но процедуры отката в dns - нет Вообще И любая ошиб, нах. (?), 12:47 , 31-Янв-24, (53) +3

На подконтрольной инфраструктуре откат должен происходить мгновенно Некорректна, Аноним (48), 17:09 , 31-Янв-24, (172)

А оно дойдёт по электронке-то Она давно завязана на DNS Или у вас uucp , 1 (??), 17:48 , 31-Янв-24, (173) +1

дойдет, у нормальных-то домены в net, только вот - noc какого-нибудь tele2 ни, нах. (?), 18:40 , 31-Янв-24, (186)

Скрыто модератором, нах. (?), 18:37 , 31-Янв-24, (185) +1

Скрыто модератором, Аноним (48), 01:00 , 01-Фев-24, (228)

Скрыто модератором, n00by (ok), 09:07 , 01-Фев-24, (238)

Ну тебе на твоей впс и правда не нужна никакая атоматизация, быстрее руками DNSS, Аноним (255), 18:20 , 31-Янв-24, (182)

Хорошо Вы о них думаете В rar архиве , nox. (?), 14:36 , 31-Янв-24, (120) +1

Вопрос не совсем в тему В связи с блоком wg openvpn кто-нибудь проверял, по ipv, чатжпт (?), 12:52 , 31-Янв-24, (56)
Но виновных как всегда нет и наказывать никого не будут , Этофиаско (?), 12:55 , 31-Янв-24, (60) +3

Да, было бы неплохо возродить публичные порки на Красной Площади, Секретный (?), 13:49 , 31-Янв-24, (101) –2

А почему вы решили, что за это не накажут вас , Аноним (162), 15:41 , 31-Янв-24, (162) +5

Может ли это быть связано с массовыми просьбами заблокировать Ютуб Неужели чебу, Аноним (-), 12:55 , 31-Янв-24, (62)

А заблочили рутуб Даже для больных это перебор , Ivan_83 (ok), 13:00 , 31-Янв-24, (67) +1
Логику по тиктоку не преподают, но можно прояснить - как связанны проблемы с зон, Ананий (?), 14:16 , 31-Янв-24, (110) –4

Такой воображаемый, что половина сайтов без VPN уже давно не открывается Да и, Макдональдс (?), 14:20 , 31-Янв-24, (111) +5

Тут, скорее, тестировалось отключение зоны ру от макдакнета , Тот_Самый_Анонимус_ (?), 19:14 , 31-Янв-24, (197) –1

Вообще не заметил никаких сбоев Узнал о них лишь из новостей , Neon (??), 13:05 , 31-Янв-24, (72) –1

Вам повезло, ваш DNS сервер выполняющий рекурсию был с отключённым DNSsec , Ivan_83 (ok), 13:11 , 31-Янв-24, (79) –1

У меня все такие , 1 (??), 17:52 , 31-Янв-24, (175)

Аналогично , nox. (?), 14:37 , 31-Янв-24, (121)
Я вечером тоже сидел с выключеным инетом Вообще не заметил работает ли он, Аноним (221), 22:26 , 31-Янв-24, (221)
На самом деле сбои были, но куда менее сильные чем писал народ Ну да, кое что у, Kuromi (ok), 03:35 , 02-Фев-24, (270)

Не знал, что в москве есть технический центр всего интернетаcontact techni, Всем Анонимам Аноним (?), 13:20 , 31-Янв-24, (81) –1

Если бы всего интернета он бы назывался Technical Center of the Internet само со, fuggy (ok), 20:11 , 31-Янв-24, (210) +3

А я вчера ловил лулзы с беспомощных ИТ специалистов как на хубре так и у провайд, Ivan_83 (ok), 13:20 , 31-Янв-24, (82) –3

Ну ты нашёл где помощи искать - на околотехническом хабре Там только поливать г, _oleg_ (ok), 13:30 , 31-Янв-24, (89) –3

Мне помощь не нужна, у меня на unbound домашнем DNSSec всегда выключен и проблем, Ivan_83 (ok), 13:49 , 31-Янв-24, (102)

Зачем вам вообще интернет Идите в пещеру , Sem (??), 18:58 , 01-Фев-24, (248)

И вполне логично, что они не сильно разобрались Ха, ты так пишешь, как-будто куч, Аноним (-), 13:56 , 31-Янв-24, (105) –1

При чём тут именно dns Там разве не всё обсирают, что не сделано иммигрантами н, _oleg_ (ok), 14:04 , 31-Янв-24, (108)

А что, не за дело обсирают Последнее, что было сделано так, что не стыдно показа, Аноним (2), 12:15 , 01-Фев-24, (239)

Скрыто модератором, _oleg_ (ok), 12:22 , 01-Фев-24, (240)

Скрыто модератором, arthi747 (ok), 18:19 , 31-Янв-24, (181) +2
Скрыто модератором, penetrator (?), 21:06 , 31-Янв-24, (214)

Достаточно было в логи залезть, чтобы понять, что косяк в DNSSEC И да, я юзаю D, timur.davletshin (ok), 13:47 , 31-Янв-24, (100) +2

Даже не нужно в логи лезть Пару dig, что бы понять, что это глобально сломалось, Sem (??), 19:00 , 01-Фев-24, (249)

Не смешно Там вообще хоть одна буква ценной информации бывает , nox. (?), 14:38 , 31-Янв-24, (123) +1
В официальной инструкции есть способ отключения dnssec как удаление пути до файл, fuggy (ok), 20:15 , 31-Янв-24, (211)

Мы у себя проблему в 19 17 увидели, а в 19 40 уже вырубили нахер dnssec , _oleg_ (ok), 13:28 , 31-Янв-24, (87) +1

Аха, вот такие, когда видят ошибку сертификата, тоже клацают Игнорировать , timur.davletshin (ok), 13:46 , 31-Янв-24, (98) +2

Я клацаю игнорить, потому что на 99 сайтах которые я посещаю TLS не нужен, я та, Ivan_83 (ok), 13:51 , 31-Янв-24, (103) +1

А потом, в тот момент, когда не нужно что-то делать, ты задним числом понимаешь,, timur.davletshin (ok), 14:43 , 31-Янв-24, (127)

Не нужно проецировать свои проблемы на других Я смотрю на сертификат только для , Ivan_83 (ok), 14:54 , 31-Янв-24, (142) +1

Видал я таких умных, которые отправляли на автомате несколько миллионов в утиль,, timur.davletshin (ok), 19:22 , 31-Янв-24, (200) +1

Ему DNSSEC не нужен, TLS не нужен Зачем он вообще сюда зашел, не ясно , Sem (??), 19:02 , 01-Фев-24, (250)

Не знаю чем надо заниматься, чтобы часто видеть эти ошибки Мне может раз в меся, Самый умный из вас (?), 14:59 , 31-Янв-24, (145)

Какие такие, чудо Какой большой смысл от dnssec у провайдера имеется ввиду, не, _oleg_ (ok), 14:02 , 31-Янв-24, (106) –1

Увы, таких помойных провайдеров полно А DoH как раз и существует в том числе из, Аноним (7), 14:13 , 31-Янв-24, (109) +1

А doh тебе зачем, болезный , _oleg_ (ok), 14:21 , 31-Янв-24, (113) –1

Для исключения человеческого фактора у провайдера, говорю же По факту лишняя ра, Аноним (7), 14:27 , 31-Янв-24, (115) +1

Блин, как тяжело с такими Ты на вопрос не ответил Перечитай, не в падлу , _oleg_ (ok), 14:34 , 31-Янв-24, (118) –1

А что тебе перечитать, если ты не осознаёшь, что защищать от провайдера до клиен, Аноним (7), 14:42 , 31-Янв-24, (126) +1

Ты с больной на здоровую голову не перекладывай Что ты собрался защищать и поче, _oleg_ (ok), 14:52 , 31-Янв-24, (140)

Ты не понял, DoT DoH так же держат DNSSec включённым и точно так же вчера всех с, Ivan_83 (ok), 15:03 , 31-Янв-24, (149)

Квадовский 9 9 9 10 без dnssec, Аноним (232), 03:52 , 01-Фев-24, (232)

Unsecured No Malware blocking, no DNSSEC validation for experts only , Sw00p aka Jerom (?), 03:49 , 02-Фев-24, (271)
Note We do not recommend mixing the secure and unsecured IP addresses in the sa, Sw00p aka Jerom (?), 03:51 , 02-Фев-24, (272)

То есть ты просто доверяешь человеческому фактору другого провайдера , fuggy (ok), 20:33 , 31-Янв-24, (212)

Я доверяю тому, что dnssec не будет отключен Особенно, когда в конфиге доверие , Аноним (7), 20:42 , 31-Янв-24, (213)

Ну и сидите без доступа к сайтам при каждом чихе , Ivan_83 (ok), 21:27 , 31-Янв-24, (217) –1

Во-первых, не при каждом Большинство операторов всё же умеет пользоваться DNSSE, Аноним (255), 20:16 , 01-Фев-24, (256)

DoH не исключает необходимости проверять DNSSEC Вообще никак , timur.davletshin (ok), 14:44 , 31-Янв-24, (129) –1

DoH действует в обход провайдера с некомпетентными сотрудниками Естественно, не, Аноним (7), 14:49 , 31-Янв-24, (138) –1
Вообще то исключает, за тебя это делает владелец DoT DoH сервиса , Ivan_83 (ok), 15:04 , 31-Янв-24, (151) –1

Не придумывай Нигде об этом в протоколе не говорится Раз уж DoT упомянул, то т, timur.davletshin (ok), 16:30 , 31-Янв-24, (166)

Нет DoH DoT это желание гугла анб залезть в штаны хомякам против их воли, под пр, Ivan_83 (ok), 15:01 , 31-Янв-24, (146) –1

DoH вполне может быть и подконтрольным К примеру, тот же dnscrypt гарантирует, , Аноним (7), 15:35 , 31-Янв-24, (161)

Чушь dnscrypt как и DoT DoH гарантируют ровно тоже что и TLS в ваш днс трафик н, Ivan_83 (ok), 16:06 , 31-Янв-24, (163) –2

Всё же, это уже не те случаи, которые стоит рассматривать Но на уровне днс впол, Аноним (7), 18:01 , 31-Янв-24, (177)

Я вам по секрету скажу - рекурсер с кешем можно дома даже держать У меня оно д, Ivan_83 (ok), 19:13 , 31-Янв-24, (196)

С терминологией разберись сперва Вот такие, которые даже терминологии не освоили, timur.davletshin (ok), 14:46 , 31-Янв-24, (134) +1

А что тебя смущает Какие такие , _oleg_ (ok), 14:53 , 31-Янв-24, (141)

Клиентам DNSSec не нужен, да и провайдерский сервер его может разве что ретрансл, Ivan_83 (ok), 14:57 , 31-Янв-24, (144)

Так и делают Давно уже не помню, что бы магистралы dns давали, но и когда давал, _oleg_ (ok), 15:04 , 31-Янв-24, (150) –1

На наге одмины провайдеров тоже не могут объяснить зачем им DNSSec нужен, в книж, Ivan_83 (ok), 15:06 , 31-Янв-24, (152) +1

Давно там не был - Но на наге так-то школьников разы меньше, чем здесь Так ч, _oleg_ (ok), 15:11 , 31-Янв-24, (155)
Перечислишь админов и провайдеров по именам или ты это 171 чисто по ощущениям , Аноним (255), 18:08 , 31-Янв-24, (180)

Сам у них спрашивайте https forum nag ru index php topic 129992-xyz-upal pag, Ivan_83 (ok), 19:14 , 31-Янв-24, (198)

А кто же это сделал , Аноним (132), 14:44 , 31-Янв-24, (132) +1

ессественно новенький админ, которого не курсанули, что при смене ключей необход, Sw00p aka Jerom (?), 16:35 , 31-Янв-24, (168) –1

Если бы новенький админ, то не выпускали бы отчет со смыслом это не мы такие, э, Sem (??), 19:04 , 01-Фев-24, (251)

https cctld ru media news kc 35566 , Sem (??), 19:06 , 01-Фев-24, (252)

Возникшая коллизия ключей, в причинах которой в настоящее время продолжают ра, Sw00p aka Jerom (?), 22:13 , 01-Фев-24, (261)

Коллизия - это, например, когда хеши от разных данных совпали Тут требуется ква, n00by (ok), 07:56 , 02-Фев-24, (273)

- Почему у тебя нос сломан - Потому-что он столкнулся коллизия с чужим кулаком, Sw00p aka Jerom (?), 09:23 , 02-Фев-24, (274)
Допускаем, сгенерировали 1024 битный ZSK ключ rsa, его хеш sha256 ибо algo_id 8, Sw00p aka Jerom (?), 09:48 , 02-Фев-24, (275)

Тут задача из разряда кто даст правильный ответ - тот получит 10 лет , n00by (ok), 13:00 , 02-Фев-24, (277)

ага, кто купит билетов пачку XDОбратим внимание на данное утверждение ч, Sw00p aka Jerom (?), 16:00 , 02-Фев-24, (278)

для истории Из письма ТЦИ следует, что сбой длился 30 января с 18 28 до 21 00 , Sw00p aka Jerom (?), 14:43 , 08-Фев-24, (281)

и прикол в том, что они на протяжении нескольких часов не вкуривали почему сигна, Sw00p aka Jerom (?), 16:59 , 31-Янв-24, (171) +3

я подозреваю в их офисе резко отвалился интернет, 4ge тоже пошло по п-де кто не, нах. (?), 19:08 , 31-Янв-24, (193) +1

лол, кек у меня opennet ru не открывался, вот и заметил а байки про то, что н, Sw00p aka Jerom (?), 22:25 , 31-Янв-24, (220)

Или их хакнули или они в очередной раз попробовали пропихнуть свои интернет по п, Аноним (160), 15:24 , 31-Янв-24, (160) –2
Еще Воланд говорил Канту за завтраком про DNSSEC 171 Вы, профессор, воля ваша, Аноним (164), 16:12 , 31-Янв-24, (164)
В очередной раз убедились, что DNSSEC отлично работает И в том, что людей поним, Аноним (255), 18:06 , 31-Янв-24, (178) +4

Зачем нужен ремень безопасности когда ты находишься в жидкой среде близкой по пл, Ivan_83 (ok), 19:24 , 31-Янв-24, (201)

171 Фонаты 187 действительно много чего не могут Попробуй спросить знающих , Аноним (255), 19:32 , 31-Янв-24, (204)

Те не вас Покажите примеры успешных атак, потому что я читал только про лаборат, Ivan_83 (ok), 20:04 , 31-Янв-24, (209)

Как скажешь Я тебе покажу, а ты скажешь, что я 171 фонат 187 и придумаешь, п, Аноним (255), 21:29 , 31-Янв-24, (218)
кек, а че это много разве одновременно досишь неймсервер, который должен присла, Sw00p aka Jerom (?), 00:15 , 01-Фев-24, (226)

Нет, не много, но 2 16 надо слать на все порты, обычно это 1024-65535 Те примерн, Ivan_83 (ok), 06:51 , 01-Фев-24, (234)

Это ты отлично придумал Теперь можно не только замедлить разрешение имён в атак, Аноним (255), 20:30 , 01-Фев-24, (257)

Примеры таких компаний , Аноним (279), 05:36 , 03-Фев-24, (279)

Когда амеры это сделают, по ТВ просто скажут что надо везде прописать суверенн, Kuromi (ok), 15:40 , 01-Фев-24, (242)
TLS у вас от вашего браузера до 8 8 8 8 А DNSSEC от 8 8 8 8 до остальных не, Sw00p aka Jerom (?), 22:46 , 01-Фев-24, (263)

А ведь 47 минут назад подпись всё-таки успешно поменяли https dnsviz net d , DragonX256 (ok), 18:06 , 31-Янв-24, (179) +2
На уровне слуховых слухов вся ситуация с заменой ключей DNSSEC отлично ложится н, Kuromi (ok), 15:36 , 01-Фев-24, (241)

есть такая гипотеза, а как иначе всех со всяких восьмерок и единичек перевес, Sw00p aka Jerom (?), 22:30 , 01-Фев-24, (262)

Ну сорянчик, боли роста , бывает , Kuromi (ok), 02:25 , 02-Фев-24, (269)

роскомпозор пилит суверенный днс с подменой ключей, больше всех попали мобильные, Аноним (276), 11:33 , 02-Фев-24, (276)

Сообщения [Сортировка по времени | RSS]

1. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –2 +/–

Сообщение от Аноним (1), 31-Янв-24, 11:33

>после перехода на новый ключ из-за ошибки перестала проходить проверка подлинности
А в чем ошибка была, собственно?

Ответить | Правка | Наверх | Cообщить модератору

9. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +15 +/–

Сообщение от Аноним (9), 31-Янв-24, 11:44

Записи в зоне RU другим ключом подписали, не тем, что указан в записи DNSKEY. Они параллельно пилят отечественный изолированный DNS (НСДИ, национальная система доменных имён), видимо ключи  c ним перепутали. Но подробностей что у них случилось пока нет, лишь общие отписки.

Ответить | Правка | Наверх | Cообщить модератору

28. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –8 +/–

Сообщение от Аноним (28), 31-Янв-24, 11:58

А почему давно не запилили, DNS разве не на СПО зиждится?

Ответить | Правка | Наверх | Cообщить модератору

77. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +2 +/–

Сообщение от Ананий (?), 31-Янв-24, 13:10

Причем тут СПО и зачем что-то пилить?
Косплеить корневой сервер можно хоть на MS Шиндовс
Все и так готово к своим доменным именам.
Делаешь свой корневой сервер, пилишь там свои зоны с поэтессами и настраиешь свой комплюктер на взаимодействие с ним.
Все тоже самое, но в масштабах государства.
Если захотят прозрачно, то из-за этих ваших днс-секов и днс-офер-хттп клаудфларесеков - не получится. А так заворачивать 8.8.8.8 на свои научились уже давно.

Ответить | Правка | Наверх | Cообщить модератору

36. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –5 +/–

Сообщение от Аноним (36), 31-Янв-24, 12:15

> Записи в зоне RU другим ключом подписали, не тем, что указан в записи DNSKEY.
Похоже, у них там свой набор верхних корневых днс-серверов. Его ключом и подписали. Но выдали в запросах с общепринятых корневых, а не со своих. Ждать осталось недолго, когда теневая система заменит основную. Шифрование/сертификаты - там всему можно перестать доверять уже сейчас.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

42. Скрыто модератором +7 +/–

Сообщение от Бывалый смузихлёб (?), 31-Янв-24, 12:28

> там всему можно перестать доверять уже сейчас
Блажен кто верует что западным штуковинам можно было доверять
википедия соврать не даст

Ответить | Правка | Наверх | Cообщить модератору

51. Скрыто модератором +1 +/–

Сообщение от Аноним (51), 31-Янв-24, 12:39

Думаю, западным спецслужбам до Васяна из опеннета дела нет. А вот нашим - есть. Так что безопаснее использовать то, до чего нет доступа спецслужбам твоей страны, где бы эта страна не находилась.

Ответить | Правка | Наверх | Cообщить модератору

37. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (37), 31-Янв-24, 12:15

>видимо ключи c ним перепутали
А какой смысл использовать разные ключи?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

52. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +2 +/–

Сообщение от нах. (?), 31-Янв-24, 12:44

НСДИ они тоже положили. Но поскольку это кого надо НСДИ, там быстренько почистили кэш и сделали вид что так и было.
Впрочем, второй возможный и даже более вероятный вариант - что "перепутали" намеренно.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

54. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Аноним (54), 31-Янв-24, 12:49

>Но поскольку это кого надо НСДИ
Наверное больше потому, что от НСДИ почти никто из потребительского сегмента пока не зависит, поэтому прошло почти незаметно.

Ответить | Правка | Наверх | Cообщить модератору

55. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +2 +/–

Сообщение от нах. (?), 31-Янв-24, 12:52

Еще как уже зависят. Просто тебе об этом не доложат.
Просто поскольку он сам себе корень - его дернуть можно было без шума и пыли. Ну а насколько оно нечаянно получилось (те кто переключили свои ресолверы на НСДИ вряд ли сегодня отключат) - это вот вопрос к товарищмайору. Но у нас с тобой не те звания чтоб нам донесли ответ.

Ответить | Правка | Наверх | Cообщить модератору

85. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от San (??), 31-Янв-24, 13:24

Докладываю: ни один провайдер долго не проработает, если его днс-серверы не будут подключены к НСДИ. Могу утверждать, как сотрудник провайдера выполнявший данные требования на днс-серверах нашей компании.

Ответить | Правка | Наверх | Cообщить модератору

86. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от нах. (?), 31-Янв-24, 13:27

А чего тут тогда все у всех навернулось? Они ж там всепачинили через пять минут после того как кто-то умный показал на ошибку.
Где-то что-то ты привираешь. Как они могут проверить что и куда у тебя там подключено? Роспозоровская коробка этого не умеет, никаких "ежедневных выгрузок" (где тоже смешно потому что проверяется что ты их скачал а не куда именно засунул) и вроде никаких очевидных способов.

Ответить | Правка | Наверх | Cообщить модератору

122. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 14:38

Есть разные схемы подключения к НСДИ.

Ответить | Правка | К родителю #85 | Наверх | Cообщить модератору

154. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +3 +/–

Сообщение от Аноним (154), 31-Янв-24, 15:08

>НСДИ они тоже положили. Но поскольку это кого надо НСДИ, там быстренько почистили кэш и сделали вид что так и было.
Быстренько? Да он минут 20 косплеил под всех отвечая на всё SRVFAIL. А потом там додумались или отключить валидацию или подсунуть свой ключ.
А корень .ru просто за DDoSили резолверы, которые тыкались во все прописанные в зоне адреса, получали подписанный ответ, проверяли, выкидывали и так по кругу.
>Впрочем, второй возможный и даже более вероятный вариант - что "перепутали" намеренно.
Да не, это хорошо. Представляю, сколько лавок вспомнило, что умный админ таки нужен, а не "Петрович из отдела продаж настроил, он умеет".

Ответить | Правка | К родителю #52 | Наверх | Cообщить модератору

153. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 31-Янв-24, 15:08

может железке по середке не установили новый ключ? :)

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

39. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –6 +/–

Сообщение от Bonjovi (?), 31-Янв-24, 12:20

Здесь все намного проще. Перед выборами шaтaют не только интернет, но и сотовую сеть. У меня и еще нескольких соседей последнюю неделю МТС жестко сбоил (отключалась симка, пропадала связь, либо не работал мобильный инет). Читал, что на днях к опcоcам пришли в гости cилoвики и опять что-то там "модернизировали". Видимо, готовятся к неким событиям ближайшего будущего... Так что впереди нас ждет еще много интересного...

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

215. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –5 +/–

Сообщение от Аноним (215), 31-Янв-24, 21:14

4ебурнет на завершающей стадии

Ответить | Правка | Наверх | Cообщить модератору

2. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Аноним (2), 31-Янв-24, 11:34

ЯПОЭЗ:
https://sockpuppet.org/blog/2015/01/15/against-dnssec/

Ответить | Правка | Наверх | Cообщить модератору

57. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 12:53

+1
DNSSec для конечных потребителей устарел с тех пор как гугл всех на https натянул.
У меня собственный unbound дома с отвключённым валидатором DNSSec и вчера никаких проблем с инетом не было.
Некоторые провайдеры тоже додумались что так можно починить, остальные просто жевали сопли и не понимали что происходит и что делать.

Ответить | Правка | Наверх | Cообщить модератору

63. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –3 +/–

Сообщение от Аноним (63), 31-Янв-24, 12:56

DNSSec - это защита от недобросовестности Гугла, не?

Ответить | Правка | Наверх | Cообщить модератору

75. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +2 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 13:08

Нет.
Это когда то ходили байки что можно отравить кеш резолвера посылая ему постоянно фейковые ответы, и однажды когда он пошлёт реальный запрос фейковый ответ может придти раньше и пользователи его использующие пойдут на сервер хакера ничего не замечая.
Тогда https был только у банков и чудиков с деньгами.
В те времена с таким не заморачивались :)
Но для обеспокоенных былы варианты:
- перевести резолвер на TCP и наслаждатся медленной работы (TCP Fast Open = TFO тогда не было)
- "use-caps-for-id" - в общем резолвер слал mAIl.Com рандомизируя капитализацию букв и сверял ответ чтобы там было так же, это добавляло расширяло уникальный ID+src port запроса ещё каким то количеством рандомных бит неизвестных атакующему. Но проблема в том, что многие присылали ответ сделав все буквы большими или маленькими и резолвинг отдельных доменов или даже зон ломался.
Как сейчас не знаю, давно не включал :)

Ответить | Правка | Наверх | Cообщить модератору

88. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от нах. (?), 31-Янв-24, 13:30

> +1
> DNSSec для конечных потребителей устарел с тех пор как гугл всех на
> https натянул.
да он и раньше-то нахрен был не нужен. Очередная диверсия от профессоров далеких от реальности и не пользующихся компьюктором, на денежки которые все равно нельзя было потратить на гостинницу в Майами (а вот тут стало можно - мы соберем в ней конференцию по DNSSEC!)

> У меня собственный unbound дома с отвключённым валидатором DNSSec и вчера никаких
> проблем с инетом не было.
а там точно нет каких glue records которые просто перестали отдаваться?

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

94. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 13:37

Я не дебажил.
Перезапустил пару раз unbound ради интереса, надеялся что отвалится но нет, как работало так и продолжило.
Насколько я понял проблема была в том, что для зоны ru ответы всех DNS серверов второго+ уровня стали дропатся как не валидные из за DNSSec.
А раз он у некоторых был отключён то для них ничего не поменялось.

Ответить | Правка | Наверх | Cообщить модератору

136. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от нах. (?), 31-Янв-24, 14:48

> Я не дебажил.
> Перезапустил пару раз unbound ради интереса, надеялся что отвалится но нет, как
> работало так и продолжило.
а там на диске нет кэша gtld ?
> Насколько я понял проблема была в том, что для зоны ru ответы
> всех DNS серверов второго+ уровня стали дропатся как не валидные из
> за DNSSec.
там вопрос в том чтоб . тебе glue records отдал - а то он же полезет (или нет?!) проверять в зону ru,  ой, ключ неправильный, нибуду нихачю натебе servfail

Ответить | Правка | Наверх | Cообщить модератору

159. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 15:21

На диске вроде никаких кешей нет, только рутовые сервера и может их ключи.
DNSSec у меня выключен:
module-config: "iterator"
(если бы включён был то это "validator iterator"), поэтому никаких ошибок в принципе нет и не будет.

Ответить | Правка | Наверх | Cообщить модератору

202. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от fuggy (ok), 31-Янв-24, 19:28

Ну да выходит валидатор выключил и не увидел возможной подмены днс, в то время как остальных dnssec защитил от возможной подмены. Безопасность уровня: я отключил антивирус, а то он пищит и мешает файлы открывать.

Ответить | Правка | Наверх | Cообщить модератору

208. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 19:57

Покажите мне успешные атаки на отравление кеша, тогда будет иметь смысл продолжать.
Атаки от человека посредине - DNSSec им не помеха совсем, ибо можно сразу начать вырезать весь DNSSec либо вместо возни с ним перенаправить на уровне IP трафик на нужный сервер.

Ответить | Правка | Наверх | Cообщить модератору

244. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sem (??), 01-Фев-24, 18:40

Твоя безопасность - это твое дело. Никто не должен тебе ничего доказывать.

Ответить | Правка | Наверх | Cообщить модератору

243. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от suffix (ok), 01-Фев-24, 16:55

Ну не скажите.
Допустим у Вас очень большое количество пользователей ведут переписку по email. Руководство озаботилось шифрованием переписки и выбрало для этого s/mime. Ну получили Вы сертификаты s/mime на каждый email адрес. И как теперь распространить это по всей огромной толпе пользователей ? А сертификаты ещё и менять периодически надо !
Всем пользователям устанавливается Thunderbird и плагин к нему Great DANE for Thunderbird, а все сертификаты s/mime помещаются в DNS записи SMIMEA. И всё будет проверяться, шифроваться автоматом у всех и менять сертификаты  легко - достаточно запись SMIMEA изменить. Разумеется чтобы это надёжно работало эти записи SMIMEA в DNS должны быть подписаны DNSSEC.

Ответить | Правка | К родителю #57 | Наверх | Cообщить модератору

255. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (255), 01-Фев-24, 20:06

> очень большое количество пользователей ведут переписку по email
Бывает.
> Всем пользователям устанавливается Thunderbird и плагин
Не бывает. У всех пользователей уже стоит Outlook, в котором шифрование емейлов из коробки.

Ответить | Правка | Наверх | Cообщить модератору

3. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Карлос Сношайтилис (ok), 31-Янв-24, 11:38

> Причины инцидента в зоне RU пока не детализированы
Свидетельство канарейки?
> временно отключив в настройках своих резолверов верификацию через DNSEC
Да уж можно и не включать. Наверняка ещё пару экспериментов надо провести, пока научатся

Ответить | Правка | Наверх | Cообщить модератору

27. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от keydon (ok), 31-Янв-24, 11:58

> Да уж можно и не включать. Наверняка ещё пару экспериментов надо провести, пока научатся
И по http ходить на всякий случай. Вдруг он тоже сломается.

Ответить | Правка | Наверх | Cообщить модератору

35. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от rvs2016 (ok), 31-Янв-24, 12:08

> И по http ходить на всякий случай
Через http Ростелеком незаконно наталкивает в чужие сайты свою рекламу, а пользователи сайтов не разбираются в том, что эту помойку в сайты наталкивает Ростелеком и обвиняют в этом хозяев сайтов. Приходится использовать https.
Да и когда по требованию РКН сайт блокируют, то на месте http-сайта появляется фишинговая страница с информацией о блокировке сайта (если блокируют порчей отдаваемого с веб-сервера потока, а не заменой ip-адреса сервера в его зоне), а через https такая страница появляться наверно ж не должна (не проверял, ибо после перевода сайтов на httpы их по требованиям РКН не блокировали у нас уж).

Ответить | Правка | Наверх | Cообщить модератору

41. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Бывалый смузихлёб (?), 31-Янв-24, 12:24

По http вроде бы как можно было заблокировать конкретную страницу, на которой и содержится нарушение, т.е сам ресурс мог оставаться вполне доступным
Тогда как с https - вообще всё нафиг рубится

Ответить | Правка | Наверх | Cообщить модератору

43. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от rvs2016 (ok), 31-Янв-24, 12:30

> По http вроде бы как можно было заблокировать конкретную страницу, на которой
> и содержится нарушение, т.е сам ресурс мог оставаться вполне доступным
Да. Можно заблокировать только одну страницу. И РКН в своём требовании к провайдеру требовал заблокировать только одну страницу. А провайдер вместо одной требуемой страницы заблокировал всё от корня веб-сервера: его ж за это никто не накажет - вот и творят что хотят.
> Тогда как с https - вообще всё нафиг рубится
А с https всё отрубится как, если с веб-сервера к клиенту будет идти https-поток, в который никто не сможет вставить спам о том, что "страница заблокирована по решению тра ля ля"?
Это вот если они для блокировки в зоне подменят ip-адреса веб-сервера, то на своём подставном веб-сервере, конечно, напишут про то, что "заблокирована тра ля ля".

Ответить | Правка | Наверх | Cообщить модератору

92. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Бывалый смузихлёб (?), 31-Янв-24, 13:36

>> Тогда как с https - вообще всё нафиг рубится
> А с https всё отрубится как, если с веб-сервера к клиенту будет
> идти https-поток, в который никто не сможет вставить спам о том,
> что "страница заблокирована по решению тра ля ля"?
> Это вот если они для блокировки в зоне подменят ip-адреса веб-сервера, то
> на своём подставном веб-сервере, конечно, напишут про то, что "заблокирована тра
> ля ля".
Они порой ничего не пишут - страница тупо не открывается, падая по превышению времени ожидания

Ответить | Правка | Наверх | Cообщить модератору

80. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ананий (?), 31-Янв-24, 13:16

>Через http Ростелеком незаконно наталкивает в чужие сайты свою рекламу
Лол, таким еще кто-то занимается?
Помню пяток лет назад этим сначала стали промышлять билайны-мтс, пихая ссыль на личный кабинет, потом местячковые провайдеры уже с рекламой. Но и те и другие быстро огребли, да еще насладились радостными отзывами в тех поддержку, из-за чего через пару месяцев прекратили безобразничать.

Ответить | Правка | К родителю #35 | Наверх | Cообщить модератору

96. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от rvs2016 (ok), 31-Янв-24, 13:39

>>Через http Ростелеком незаконно наталкивает в чужие сайты свою рекламу
> Лол, таким еще кто-то занимается?
> Помню пяток лет назад этим сначала стали промышлять билайны-мтс, пихая ссыль на
> личный кабинет, потом местячковые провайдеры уже с рекламой. Но и те
> и другие быстро огребли, да еще насладились радостными отзывами в тех
> поддержку, из-за чего через пару месяцев прекратили безобразничать.
Ага. Занимаются да притом ещё как!
После того, как мы наши сайты на https переключили, то я эти помойки видеть у нас перестал.
Но в интернетах ещё водятся сайты на http, которые по дороге к пользователям наталкиваются рекламой Ростелекома, если путь от сайта к пользователю пролегает через Ростелеком.
Я к интернетам подключен через Ростелеком, поэтому на http-сайтах Ростелекомовскую помойку вижу нередко. Опеннетовские страницы, бывает, из rss открываю, и на страницах Опеннета в таких случаях тоже замечаю Ростелекомовские помойки, да такие, что думаешь - как бы их так обойти, чтобы не вляпаться в них да не обгадиться.
Максим тут на Опеннете когда-то во времена подключения Опеннета к https писал чё-то такое, что http отключать не будет, т.к. кому-нибудь он по каким-нибудь причинам может пригодиться.

Ответить | Правка | Наверх | Cообщить модератору

107. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Maxim Chirkov (ok), 31-Янв-24, 14:04

> Опеннетовские страницы, бывает, из rss открываю, и на страницах Опеннета в таких случаях тоже замечаю
Можете точнее написать в каких RSS остаются ссылки на http? Я вроде очень давно везде переделал только на https, но может где-то пропустил. HTTP на opennet должен оставаться только при прямом входе на внутренние страницы, в остальных случаях должно перебрасывать на HTTPS.
Разбор подстановки рекламы от ростелекома: https://opennet.ru/52444

Ответить | Правка | Наверх | Cообщить модератору

112. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от rvs2016 (ok), 31-Янв-24, 14:20

> Можете точнее написать в каких RSS остаются ссылки на http? Я вроде
> очень давно везде переделал только на https, но может где-то пропустил.
https://www.opennet.ru/openforum/forum_vsluhforumID4.rss
https://www.opennet.ru/openforum/forum_vsluhforumID4.rss
При открытии потока через https все ссылки в нём - через https.
При открытии его же через http все ссылки в нём - через http.
Я думал, что это специально так и задумано для того, чтобы каждый сам решал: что ему нужно http или https. Но в остальных rss-потоках все ссылки только https независимо от того, http или https адрес у rss-потока.
У меня-то долго в rss2email были старинные http-адреса rss Опеннета. Но недавно надоело смотреть на ростелекомовские помойки на сайте и я заменил в rss2email http на https. А сейчас Максим переключит всё на безусловный https и получается, что я адреса в rss2email переправлял зря. :-)

> HTTP на opennet должен оставаться только при прямом входе на внутренние
> страницы, в остальных случаях должно перебрасывать на HTTPS.
А я думал, что в начале эпохи перевода Опеннета на https была задумка сделать так, чтобы пользователи сами решали: как им на Опеннет ходить - через http или через https.

Ответить | Правка | Наверх | Cообщить модератору

170. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Maxim Chirkov (ok), 31-Янв-24, 16:54

> https://www.opennet.ru/openforum/forum_vsluhforumID4.rss
Поправил, теперь там только https.

Ответить | Правка | Наверх | Cообщить модератору

114. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (114), 31-Янв-24, 14:22

У меня так opennet в закладках оставался как http. После переустановки ос сначала удивлялся, что за дичь лезет, потом посмотрел, что это от ростелекома подарки

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

280. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Анонимщик (?), 03-Фев-24, 10:45

На http сайт сейчас еще постараться надо, чтобы зайти. Все хромо-клоны верещат как резаные при открытии http.

Ответить | Правка | К родителю #96 | Наверх | Cообщить модератору

222. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Аноним (222), 31-Янв-24, 22:27

Как постоянный пользователь Мегафона подтверждаю, тоже регулярно вставляет рекламу в http.

Ответить | Правка | К родителю #80 | Наверх | Cообщить модератору

61. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –3 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 12:55

У меня мой сайт только по http, https есть но там самоподписной сертификат.
Нет смысла ложится под американцев в плане доступности.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

91. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от нах. (?), 31-Янв-24, 13:35

> У меня мой сайт только по http, https есть но там самоподписной
> сертификат.
> Нет смысла ложится под американцев в плане доступности.
У тебя уже  ж есть не легший под американцев аналоговнеимеющей браузер который не покажет при этом пустое место или вообще СТРАШНУЮ СТРАНИЦУ ПОЛНУЮ НЕВЕДОМОЙ ХРЕНИ вместо сайта?
Или твой сайт такое ненужно что еще и к паблик интернету вообще не подключен?

Ответить | Правка | Наверх | Cообщить модератору

95. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 13:38

Подключён, и иногда на него даже кто то попадает :)
Но в целом там странное и мало кому нужное :)

Ответить | Правка | Наверх | Cообщить модератору

125. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от нах. (?), 31-Янв-24, 14:41

> Подключён, и иногда на него даже кто то попадает :)
> Но в целом там странное и мало кому нужное :)
ну так с тем же успехом мог бы и вообще его выключить, надежно, безопастно, днс ниннуна.
Большинство-то держит свой сервер чтобы либо поделиться с кем-то информацией, либо коготу...э...поделить.
Мне, любимому, для себя и ftp хватит (и я его адрес кстати помню без всякого dns)

Ответить | Правка | Наверх | Cообщить модератору

156. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 15:11

Я тоже чтобы поделится.
В своё время послал хубр и перетащил всё к себе.
Но это весьма специфичная инфа, думаю максимум 10к людям в год такое надо.
Я слишком много переезжал и долго сидел на динамическом IP чтобы помнить IP :)
И уже давно по IPv6 тоже доступен.

Ответить | Правка | Наверх | Cообщить модератору

97. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от rvs2016 (ok), 31-Янв-24, 13:45

> У меня мой сайт только по http, https есть но там самоподписной
> сертификат.
> Нет смысла ложится под американцев в плане доступности.
Ну когда пользователям на http-сайте пишешь про то, что, дескать, тоарищи, помойку на сайт наталкиваем не мы, а Ростелеком, а пользователи всё-равно плюются и просят эти помойки удалить, то большинству из них объяснения о том, что помойка не наша, а ростелекомовская, являются пустым звуком.
В такой ситуации проще быстро подключить https через letsencrypt, чем изучать ваяние самоподписных сертификатов, и пользователи быстро успокоятся. Их же не убедишь в том, что помойка не наша, а незаконная ростелекомовская.
Да и не нравится мне, что Ростелеком за счёт чужих ресурсов (матеральных и трудовых) зарабатывает деньги себе и даже не только не уведомляет об этом владельцев чужих ресурсов, но и упирается, делая вид, будто он потоки чужих ресурсов своими спамо-помойками не обгаживает.

Ответить | Правка | К родителю #61 | Наверх | Cообщить модератору

124. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 14:40

У меня нет такой проблемы, а проблемы абонентом ростелекома меня не волнуют, впрочем и я им тоже не нужен :)
Но вы похоже не очень во всём разбираетесь, ибо помойку ростелека можно было заблочить на уровне браузеров, просто добавив нужные заголовки в ответ.

Ответить | Правка | Наверх | Cообщить модератору

184. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от rvs2016 (ok), 31-Янв-24, 18:23

> Но вы похоже не очень во всём разбираетесь, ибо помойку ростелека можно
> было заблочить на уровне браузеров, просто добавив нужные заголовки в ответ.
Какие заголовки надо с веб-сервера отправить вместе со страницей в браузер пользователя, чтобы его браузер помойку Ростелекома внутри этой страницы как-то нашёл и убрал? Это вообще странная задача - браузер-то должен(*) ничего не менять в странице, которая ему пришла со стороны веб-сервера, даже если она по дороге была изгажена ростелекомами там всякими, (*)если только пользователь сам не прикажет своему браузеру менять полученные страницы каким-то способом (рекламо-вырезалками, например). Но это ж браузер так может менять полученные страницы только с разрешения пользователя. А мне-то надо, чтобы к пользователю страница с веб-сервера приехала точно в том виде, в котором веб-сервер её отдал.

Ответить | Правка | Наверх | Cообщить модератору

191. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 19:05

Читайте про: "Content-Security-Policy" заголовок.

Ответить | Правка | Наверх | Cообщить модератору

199. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от rvs2016 (ok), 31-Янв-24, 19:20

> Читайте про: "Content-Security-Policy" заголовок.
Почитал.
Заголовок-то интересный.
Но узел, через который от веб-сервера к веб-браузеру идёт http-поток (в нашем случае это Ростелеком) имеет возможность удалить этот заголовок из потока и в таком случае установка этого заголовка веб-сервером окажется бесполезной для веб-браузера. А если условный Ростелеком окажется честным и помойки в поток вставлять перестанет, то особой нужны в заголовке Content-Security-Policy наверно и не будет уж.

Ответить | Правка | Наверх | Cообщить модератору

128. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от нах. (?), 31-Янв-24, 14:43

кстати, когда я увидел таки единственный раз (правда не ростелек а мегафон) на любимом опеннете - я даже не сразу понял, что это неправильная реклама.
Потому что она очень аккуратно была всунута вместо рекламы опеннета - на то же место или рядышком (но спалились потому что та заблочена ублоком... ну ок, добавил еще и эту тоже)
Т.е. пострадавших на самом деле вообще было ровно ноль.

Ответить | Правка | К родителю #97 | Наверх | Cообщить модератору

4. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +4 +/–

Сообщение от Аноним (4), 31-Янв-24, 11:40

Надуюсь подробный публичный отчет будет по инциденту. Не очень красиво получилось.

Ответить | Правка | Наверх | Cообщить модератору

6. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +6 +/–

Сообщение от Аноним (4), 31-Янв-24, 11:41

Надуюсь, если не будет, а так надеюсь. =)

Ответить | Правка | Наверх | Cообщить модератору

29. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +6 +/–

Сообщение от 12yoexpert (ok), 31-Янв-24, 11:59

Он будет, но вам его не покажут. Если вы не с той стороны социума, конечно

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

47. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –4 +/–

Сообщение от Бывалый смузихлёб (?), 31-Янв-24, 12:33

На днях( кажись, в минувшую пятницу. Ночь-раннее утро ) примерно так же отвалились забугорные ресурсы
Вообще нифига не отрывалось но дзен работал
Примечательно, что вообще никто не заметил
Нынче - ru-сайты
Уж было думал что провайдер халтурит
Но ему повезло. На этот раз
> Он будет, но вам его не покажут. Если вы не с той стороны социума, конечно
Дело не в сторонах социума, а в наличии смысла
Какой толк от того что аноним узнает точные детали ?
Ну пожмёт плечами, скажет "ну ок" и что, он что ли в след. раз будет прибегать исправлять падение сети ?

Ответить | Правка | Наверх | Cообщить модератору

71. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от 12yoexpert (ok), 31-Янв-24, 13:04

не падения сети нужно двигать, а...

Ответить | Правка | Наверх | Cообщить модератору

131. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от нах. (?), 31-Янв-24, 14:44

> Он будет, но вам его не покажут. Если вы не с той
> стороны социума, конечно
да, у товарищмайора-то на столе лежит, учения по мягкому принуждению на переключение на национальный чебурнет выполнены успешно, результат достигнут, количество запросов выросло на столько-то... но нам он его, увы, не покажет.

Ответить | Правка | К родителю #29 | Наверх | Cообщить модератору

46. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +2 +/–

Сообщение от Аноним (46), 31-Янв-24, 12:33

>Надуюсь подробный публичный отчет
Это должен быть не отчет, а процесс! Ибо - повреждение критической инфраструктуры.

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

233. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +2 +/–

Сообщение от Аноним (233), 01-Фев-24, 05:19

>Пользователей DNS-резолверов, на которых DNSSEC отключён, не пострадали

Ответить | Правка | Наверх | Cообщить модератору

5. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +3 +/–

Сообщение от Аноним (1), 31-Янв-24, 11:41

Ждем пополнения списка https://ianix.com/pub/dnssec-outages.html

Ответить | Правка | Наверх | Cообщить модератору

14. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (4), 31-Янв-24, 11:48

Фигасебе списочек там. В какую интересно номинацию попадет.
Мне очень зашла "Long DNSSEC outages".

Ответить | Правка | Наверх | Cообщить модератору

7. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –4 +/–

Сообщение от Аноним (7), 31-Янв-24, 11:42

Вчера половина рунета отвалилась, да. Затронуло в основном пользователей DoH, остальным можно подсовывать любой левый трафик под видом настоящего.

Ответить | Правка | Наверх | Cообщить модератору

20. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Пряник (?), 31-Янв-24, 11:53

Максимум увидишь SEC_ERROR_UNKNOWN_ISSUER.

Ответить | Правка | Наверх | Cообщить модератору

23. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (7), 31-Янв-24, 11:56

Страшно-страшно, браузер отказался открывать.

Ответить | Правка | Наверх | Cообщить модератору

40. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Random (??), 31-Янв-24, 12:23

Отключил временно DNSSEC на домашнем сервере, всё заработало.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

64. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –5 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 12:58

Потому что DoH/DoT и публичные 8.8.8.8 и пр аналоги держат те же дятлы которые не отключают DNSsec, в итоге результат их использования в лучшую сторону не отличался.
Притом локальные провайдеры некоторые додумались DNSSec отключить или он у них был выключен и у их пользователей всё работало.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

76. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (7), 31-Янв-24, 13:09

Ну вот год назад вроде мега отвалилась, сейчас какие-то бесполезные сайты в рунете. Стоит ли отключать из-за очередного человеческого фактора dnssec? Это чтобы добавить ещё человеческого фактора в ситуацию, видимо, да?

Ответить | Правка | Наверх | Cообщить модератору

84. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 13:22

А зачем его включать когда большая часть трафика под TLS?

Ответить | Правка | Наверх | Cообщить модератору

93. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (7), 31-Янв-24, 13:36

> А зачем его включать когда большая часть трафика под TLS?
Чтобы не подменяли сайты на подконтрольные. Толку от tls, когда сертификаты часто совершенно левые? Как много пользователей вручную следит за внезапными сменами сертификатов на любимых сайтах? Я вот припоминаю несколько случаев, когда сертификаты с сайтами таким образом подменяли в РФ.

Ответить | Правка | Наверх | Cообщить модератору

99. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 13:47

Вы поддразумеваете что надо проделать огромную работу по отравлению кеша и выпуску левого сертификата - и для чего? Как это ментизировать?
И чтобы кеш отравить надо сильно флудить, как минимум 2млрд пакетов каждую секунду с фейковыми ответами, ибо 16 бит ID + 15 бит src port (даже чуть больше 15 может быть).
В реале может чуть меньше можно сделать если подгадать src port, но даже так будет несколько десятков раз по 32к каждую секунду.
Эта атака всегда была теоритической, делали её в лабах где или src port было мало или была возможность его угадать.
Это не говоря о том, что допилить резолвер для автоматического отражаения такой атаки - дело получаса: если приходит много ответов без запросов то помечаем домен в ответах как атакуемый, шлём алерт админу а сами этот домен резолвим через TCP.
Всё, досвидос.

Ответить | Правка | Наверх | Cообщить модератору

104. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Аноним (7), 31-Янв-24, 13:51

Ты ещё скажи митм никому не интересен, а последние 10 лет нам всем приснились. Все технологии давно отработаны.

Ответить | Правка | Наверх | Cообщить модератору

135. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 14:46

Так покажите где на MiTM кто то поднялся, я видел всё от госов, а у них для этого все крутилки есть by design.
Они вам и DNSSec ответ подпишут нужный им без проблем.

Ответить | Правка | Наверх | Cообщить модератору

117. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Ананий (?), 31-Янв-24, 14:32

> Вы поддразумеваете что надо проделать огромную работу по отравлению кеша и выпуску
> левого сертификата - и для чего? Как это ментизировать?
пойсон атаки подразумевают некого внешнего злыдня, а если злыдень - это провайдер, которому злобный чекист(tm) приставил маузер к виску?
ему не надо ничего спамить, достаточно перехвать ответы
вот например ответ гугеля на opennet.ru
14:24:10.284333 IP 8.8.8.8.53 > 127.0.0.1.43736: 59855 1/0/0 A 217.65.3.21 (44)
        0x0000:  5254 0015 495f 0200 0000 0001 0800 4500  RT..I_........E.
        0x0010:  0048 3d6b 0000 6e11 e5c1 0808 0808 566e  .H=k..n.......Vn
        0x0020:  c2fa 0035 aad8 0034 57c7 e9cf 8180 0001  ...5...4W.......
        0x0030:  0001 0000 0000 076f 7065 6e6e 6574 0272  .......opennet.r
        0x0040:  7500 0001 0001 c00c 0001 0001 0000 0851  u..............Q
        0x0050:  0004 d941 0315
я разборкой пакетов особо никогда не занимался, но тут же последние 4 байта и есть ответ
разобрать пакет ответа и подменить ойпи скорее всего не представляет особого труда.

Ответить | Правка | К родителю #99 | Наверх | Cообщить модератору

137. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 14:49

Я зато занимался исплементацией DNS протокола и собственного рекурсера с кешем :)
DNSSec не от провайдера, и тем более не от госов.
Госы без проблем подпишут DNSSec то что им нужно, а ваш DNS трафик они просто завернут себе не спрашивая и будут отвечать без DNSSec, типа не хотите так - не будет вам инета.

Ответить | Правка | Наверх | Cообщить модератору

245. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sem (??), 01-Фев-24, 18:48

И какие защиты от спуффинга вы в вашем рекурсере применяли? Расскажите, раз вы такой DNSSEC-hater.

Ответить | Правка | Наверх | Cообщить модератору

188. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от fuggy (ok), 31-Янв-24, 18:53

Как хорошо что есть личный локальный ресолвер.
Причём тут DoH. Зависит от оператора кто настроил валидацию dnssec, четыре восьмёрки, например включена валидация.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

192. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (7), 31-Янв-24, 19:06

Четыре восьмёрки первыми начали подменять трафик в своё время, осадочек остался. Ну и, главная проблема, они регулярно отваливаются. То домены третьего уровня отвалятся, то просто лежат.

Ответить | Правка | Наверх | Cообщить модератору

205. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Аноним (255), 31-Янв-24, 19:39

Да-да, и проблема сто процентов в Гугле, а не в твоём провайдере, который 8.8.8.8 прямо у себя на роутере завернул себе на 192.168.0.2, ага.
Комменты на опеннет даже смешнее «Смехопанорамы».

Ответить | Правка | Наверх | Cообщить модератору

206. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Аноним (7), 31-Янв-24, 19:50

О чём и речь. А что смешного тебе? Думаешь, в твоей стране такого не случится? Могу тебя расстроить, большинство стран начали оперативно перенимать опыт. Практически сразу.

Ответить | Правка | Наверх | Cообщить модератору

216. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (255), 31-Янв-24, 21:23

В моей стране принято соблюдать законы, регулятор не имеет доступа к инфраструктуре, а ISP без судебного постановления пальцем не пошевелит. Да и с постановлением не факт — успешно оспаривали и будут дальше оспаривать любую тупую полицейскую херню. Для того лоеры на зарплате и нужны.

Ответить | Правка | Наверх | Cообщить модератору

227. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Аноним (7), 01-Фев-24, 00:47

Даже если так, времени жить в мире розовых пони у тебя буквально до следующей локальной движухи. Наслаждайся пока, но готовься к сюрпризам.

Ответить | Правка | Наверх | Cообщить модератору

236. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 01-Фев-24, 06:54

Так то есть маленькие страны, где ты даже если инет отключишь то мобила просто через роуминг поймает из соседней страны, это не говоря о том, что все всех знают и до отключатора толпа дойдёт за 10 минут.

Ответить | Правка | Наверх | Cообщить модератору

254. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Аноним (255), 01-Фев-24, 20:04

Понимаю, что для мордорцев это мир розовых пони. Только вот я в этом мире розовых пони в провайдере отработал несколько лет, где приходилось заниматься и исполнением судебных предписаний о законном перехвате, так что знаю эту кухню изнутри на личном опыте. Официально задокументированная позиция компании выполнять такие предписания только после личного разрешения начальника юротдела или ио, настолько всё серьёзно.

Ответить | Правка | К родителю #227 | Наверх | Cообщить модератору

258. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (7), 01-Фев-24, 20:31

Времена меняются, да. То, что законодательства (да и сфера айти в целом) отдельных стран на десятки лет отстают от среднего общемирового уровня, едва ли достоинство. Ещё более вероятно, что руководство отдельной организации пока успешно избегало набутыливания и могло позволить себе действовать недальновидно. Результат всегда один.

Ответить | Правка | Наверх | Cообщить модератору

259. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (255), 01-Фев-24, 21:28

> Ещё более вероятно, что руководство отдельной организации пока успешно избегало набутыливания и могло позволить себе действовать недальновидно.
Компания существует с 1964 года, оказывает телекоммуникационные услуги с 1995, крупнейший провайдер в стране. Но анона с опеннета не проведёшь, он недальновидных не вставая с дивана вычисляет!
Времена-то меняются, но диванные кексперты опеннета не изменятся никогда.

Ответить | Правка | Наверх | Cообщить модератору

260. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (7), 01-Фев-24, 21:40

Ты всё правильно понял, крупнейший провайдер это карманный провайдер, других вариантов быть не может. А может быть, ты всерьёз принял ширму, и не был в теме.

Ответить | Правка | Наверх | Cообщить модератору

8. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (8), 31-Янв-24, 11:42

Кто вообще управляет DNS'ами?

Ответить | Правка | Наверх | Cообщить модератору

10. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (2), 31-Янв-24, 11:44

РОСНИИРОС/КИАЭ

Ответить | Правка | Наверх | Cообщить модератору

246. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sem (??), 01-Фев-24, 18:50

Это прям ну ооочень устаревшая информация.

Ответить | Правка | Наверх | Cообщить модератору

25. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от OpenEcho (?), 31-Янв-24, 11:57

> Кто вообще управляет DNS'ами?
whois ru

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

119. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (114), 31-Янв-24, 14:36

ЦМУ ССОП же, что за вопросы

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

11. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –2 +/–

Сообщение от Аноним (11), 31-Янв-24, 11:47

Еще один повод перейти на зону .Onion.

Ответить | Правка | Наверх | Cообщить модератору

18. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +3 +/–

Сообщение от Аноним (4), 31-Янв-24, 11:52

Там домены слишком сложные, еще вопрос что будет проще запомнить домен .onion или ipv6 адрес сайта.

Ответить | Правка | Наверх | Cообщить модератору

22. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (28), 31-Янв-24, 11:55

Ты же на сайты, которые посещаешь, не вручную домены набираешь, а по закладкам, автодополнению, строке поиска заходишь?

Ответить | Правка | Наверх | Cообщить модератору

30. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +2 +/–

Сообщение от Аноним (4), 31-Янв-24, 12:01

50 на 50, если домен знаю наизусть то могу себе позволить нажать ctrl+T и начать его писать (скажем первые 4-6 символов), далее Enter.. но это не типичное поведение для большинства пользователей, да.
типично: закладки, для "любимых" сайтов и ввод названия, части домена в поиск для не столь любимых

Ответить | Правка | Наверх | Cообщить модератору

32. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от 12yoexpert (ok), 31-Янв-24, 12:06

а я чёт закладками никогда не пользовался, в ff по ним абсолютно неюзабельный поиск

Ответить | Правка | Наверх | Cообщить модератору

83. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (83), 31-Янв-24, 13:20

* в начале строки и ищет по букмаркам. Еще есть неплохая фишка с keywords, можно сделать шорткаты для самых нужных.

Ответить | Правка | Наверх | Cообщить модератору

90. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от 12yoexpert (ok), 31-Янв-24, 13:31

прикольно, спс. я в панельке по ctrl+b пытался искать

Ответить | Правка | Наверх | Cообщить модератору

38. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от rvs2016 (ok), 31-Янв-24, 12:16

> Ты же на сайты, которые посещаешь,
> не вручную домены набираешь,
> а по закладкам, автодополнению,
> строке поиска заходишь?
Вручную. По закладкам ходить долго и неудобно. Их, конечно, для удобства могут выводить из меню на всякие более видные и более доступные места. Но это всё-равно не хорошо - мало ли что может оказаться в закладке. Да и для всех сайтов не хватит на экране места для закладок. А если закладки вызывать изнутри меню, то это уже дольше, чем их адреса набрать руками. :-)

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

44. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (44), 31-Янв-24, 12:32

Смысл закладок в том, что в поиске в адресной строке они вылезают даже при очищенной истории.

Ответить | Правка | Наверх | Cообщить модератору

183. Скрыто модератором +/–

Сообщение от Аноним (255), 31-Янв-24, 18:22

Тут 90% выключают все эти автодополнения в первую очередь — через них гугл и анб им в штаны лазит, как какой-то клоун ниже написал.

Ответить | Правка | Наверх | Cообщить модератору

224. Скрыто модератором +/–

Сообщение от rvs2016 (ok), 31-Янв-24, 22:55

> Тут 90% выключают все эти автодополнения
Я того же мнения.
Использую автодополнение только для адресов, которые я раньше руками набирал.
Закладки мне не нравятся ещё и тем, что работать я могу на разных компьютерах и что мне - закладки на каждом компьютере делать или таскать за собой экспортом-импортом да ещё и синхрониировать их между компьютерами? Системы всяких там "облачных" закладок мне не нравятся потому, что свои данные мне нравится хранить только в своих хранилищах, а не в облаках у незнакомых мне дядей.

Ответить | Правка | Наверх | Cообщить модератору

207. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от fuggy (ok), 31-Янв-24, 19:55

Закладки ещё нужно чтобы вместо легального сайта не переходить на какой-нибудь "0n1ine.sЬerЬank".

Ответить | Правка | К родителю #38 | Наверх | Cообщить модератору

70. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от нах. (?), 31-Янв-24, 13:04

> Там домены слишком сложные, еще вопрос что будет проще запомнить домен .onion
> или ipv6 адрес сайта.
главное даже не запомнить а найти в принципе - и быть хоть как-то уверенным что сайт не фейковый.

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

169. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (2), 31-Янв-24, 16:47

Там был какой-то преобразователь aw34awfsdfa3rsdfasdf23r3q4rwedzfdsr3rqwefd.onion в opennet.tor

Ответить | Правка | К родителю #18 | Наверх | Cообщить модератору

26. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от 12yoexpert (ok), 31-Янв-24, 11:57

gemini ещё есть. Ещё в i2p неплохая идея, но нет клиентов (один на джаве, второй российский государственный на плюсах)

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

34. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (34), 31-Янв-24, 12:08

Gemini не работают без доменных имён, а следовательно и какого-нибудь DNS, что очень печально.

Ответить | Правка | Наверх | Cообщить модератору

68. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от 12yoexpert (ok), 31-Янв-24, 13:02

gns от gnu

Ответить | Правка | Наверх | Cообщить модератору

167. Скрыто модератором +/–

Сообщение от Аноним (-), 31-Янв-24, 16:32

На .btn, .mob и .ygg!

Ответить | Правка | К родителю #11 | Наверх | Cообщить модератору

12. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –5 +/–

Сообщение от Аноним (28), 31-Янв-24, 11:47

А зачем вообще менять ключ на аналогичный но параметрам, а не, например, постквантовый? Старый что скомпрометирован?

Ответить | Правка | Наверх | Cообщить модератору

16. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +4 +/–

Сообщение от Аноним (9), 31-Янв-24, 11:50

Время жизни ключа ограничена, поэтому регулярно выполняют ротацию ключей.

Ответить | Правка | Наверх | Cообщить модератору

21. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (7), 31-Янв-24, 11:54

Он спросил зачем, а не почему. Ключи меняются на случай утечки, так менее реальная причина (тем не менее законная) на случай взлома за обозримое время.

Ответить | Правка | Наверх | Cообщить модератору

31. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (9), 31-Янв-24, 12:05

Раз в три месяца планово заменяются ключи, типа защита на случай если ключ скомпрометирован.
Для "." ключи вообще раз в 15 дней меняют.

Ответить | Правка | Наверх | Cообщить модератору

65. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –3 +/–

Сообщение от нах. (?), 31-Янв-24, 12:58

> Раз в три месяца планово заменяются ключи, типа защита на случай если
> ключ скомпрометирован.
> Для "." ключи вообще раз в 15 дней меняют.
мысль о том что система автозамены ключей и есть наиболее вероятная точка компроментации - зуммеркам в голову не приходила, там все смузей занято.

Ответить | Правка | Наверх | Cообщить модератору

130. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (130), 31-Янв-24, 14:44

>мысль о том что система автозамены ключей и есть наиболее вероятная точка
>компроментации - зуммеркам в голову не приходила, там все смузей занято.
Случаи подмены ключей палятся очень быстро через сверку ключей полученных их разных концов мира. Если конечно не подделывать ключ для кого-то одного человека не страдающего паранойей. Но кому они нужны? А потом уже будет быстро произведён разбор полётов, каким образом был подменён ключ. Главное, что все подобные системы защищают это от массовой, долговременной подмены интернета какой-то дичью.

Ответить | Правка | Наверх | Cообщить модератору

133. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от нах. (?), 31-Янв-24, 14:45

>>мысль о том что система автозамены ключей и есть наиболее вероятная точка
>>компроментации - зуммеркам в голову не приходила, там все смузей занято.
> Случаи подмены ключей палятся очень быстро через сверку ключей полученных их разных
так они будут - одинаковые. Никакой другой подмены в принципе быть не может.
Уровень понимания технологии что экспертами опеннета что теми кто принес нам это ненужное счастье - он вот примерно такой, ага.

Ответить | Правка | Наверх | Cообщить модератору

139. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (130), 31-Янв-24, 14:50

> так они будут - одинаковые. Никакой другой подмены в принципе быть не
> может.
Не будут. Допустим утёк ключ зоны "." и новый владелец рассылает информацию, что сервера зоны "ru." находятся не там где обычно. И DNSSEC ключ зоны ru. другой(иначе цепочку доверия не продлить). Все ключи ниже "." будут изменены.
> Уровень понимания технологии что экспертами опеннета что теми кто принес нам это
> ненужное счастье - он вот примерно такой, ага.
В бан проситесь?

Ответить | Правка | Наверх | Cообщить модератору

143. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от нах. (?), 31-Янв-24, 14:56

> Не будут. Допустим утёк ключ зоны "." и
и?
Ключ у тебя - уже утек. Все ключи правильно подписаны и переподписаны.
> и новый владелец рассылает информацию, что сервера зоны "ru." находятся не там где обычно. И
> DNSSEC
ничем ему не помешает.
> В бан проситесь?
мне очень очень страшно что очередной безграмотный васян меня забанит.

Ответить | Правка | Наверх | Cообщить модератору

147. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (130), 31-Янв-24, 15:02

>> Не будут. Допустим утёк ключ зоны "." и
> и?
> Ключ у тебя - уже утек. Все ключи правильно подписаны и переподписаны.
Только вот помимо липового ключа нужно иметь доступ к каждому корневому серверу в мире, чтобы ответы одного не противоречили другим, отвечающим клиентам в совершенно других странах. Конечно элементарная проверка покажет, что ответ нормально подписанный. Однако работать это будет до первого параноика отправившего дополнительный запрос через proxy-сервер находящийся в далёкой и враждебной стране.

Ответить | Правка | Наверх | Cообщить модератору

247. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sem (??), 01-Фев-24, 18:55

Если ключи одинаковые, то где подмена? "Я вам ключ подменил... на тот же самый. Хахаха, а вы и не заметили"
Хотя, видимо, логикой тут и не пахнет.

Ответить | Правка | К родителю #133 | Наверх | Cообщить модератору

157. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 15:13

DNSSec ни от чего, тем более массового не защищает, не нужно сочинять.

Ответить | Правка | К родителю #130 | Наверх | Cообщить модератору

176. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (130), 31-Янв-24, 17:59

> DNSSec ни от чего, тем более массового не защищает, не нужно сочинять.
DNSSEC защищает от подделки DNS-записей. Конечно от полноценного MITM он не спасёт, но от отравления кэша DNS очень даже. Как и от перенаправления запросов при взломе DNS-сервера.

Ответить | Правка | Наверх | Cообщить модератору

194. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 19:08

Вы для начала в реальной жизни попробуйте отравить кеш резолвера, потом будете рассказывать как у вас получилось.
От перенаправления при взломе днс сервера оно не защитит и цели такой не было.

Ответить | Правка | Наверх | Cообщить модератору

231. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 01-Фев-24, 03:22

>Для "." ключи вообще раз в 15 дней меняют.
https://www.iana.org/dnssec/ceremonies

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

48. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –3 +/–

Сообщение от Аноним (48), 31-Янв-24, 12:33

Небось ключи в зип архиве случайные люди шлют по электронке, а потом какой-нибудь младший техник (студент 2 курса менеджмент) вручную их устанавливает. Через убогую веб-панельку, написанную формошлепами 15 лет назад, где ни черта не видно и не понятно.
А должен всё это делать аккуратно написанный и протестированный код. И зону составлять, и обновлять, и сверять реальное положение дел с ожидаемым. Процедура отката на предыдущую конфигурацию должна занимать миллисекунды.

Ответить | Правка | Наверх | Cообщить модератору

53. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +3 +/–

Сообщение от нах. (?), 31-Янв-24, 12:47

я тебя расстрою, наверное, но процедуры отката в dns - нет. Вообще. И любая ошибка там - надоооолго.
И вот с такими руками - да, приходят писатели "аккуратно написанного и протестированного" но не на то что на самом деле над тестировать, поскольку про технологию они не в курсе, понадергав копипасты из чатгопоты или стековерфлова не дочитав до ответа.
И не поспоришь, протестировано - вон, юнит тесты все прошли.

Ответить | Правка | Наверх | Cообщить модератору

172. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (48), 31-Янв-24, 17:09

На подконтрольной инфраструктуре откат должен происходить мгновенно. Некорректная конфигурация в принципе должна быть невозможна. Защита от дурака должна покрывать ситуации по типу той, что произошла.
80% и более плохого кэша DNS можно отменить достаточно оперативно, разослав крупным операторам оповещение по электронке. Сеть DNS очень даже централизована. Дежурные инженеры кэш сбросят.
Я уже молчу о том, что TTL большим никто давно не делает.
Да, если вы думаете, что ручками делать надежнее, то ваш уровень - это как раз младший техник. Даже если в резюме написано что-то более умное. Нет вообще никакой проблемы написать программу, результат работы которой можно проверить до того, как она выполнит действия с боевыми сервисами. Если вы не скриптуете свои рутинные операции, еще раз - младший техник.

Ответить | Правка | Наверх | Cообщить модератору

173. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от 1 (??), 31-Янв-24, 17:48

> разослав крупным операторам оповещение по электронке
А оно дойдёт по электронке-то ? Она давно завязана на DNS. Или у вас uucp ?

Ответить | Правка | Наверх | Cообщить модератору

186. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от нах. (?), 31-Янв-24, 18:40

>> разослав крупным операторам оповещение по электронке
> А оно дойдёт по электронке-то ? Она давно завязана на DNS. Или
> у вас uucp ?
дойдет, у нормальных-то домены в .net, только вот - noc@ какого-нибудь tele2 (ни разу не в Москве и хрен ты ему сделаешь) только хихикнет и удалит нафиг твою писульку.
Я же говорю - это д-лы с образованием семь классов и еще три - кадетской школы. В принципе, не удивлюсь если такие в росниирос и его отвалившихся клонах и работают.
Думающие что по их писульке все побегут исполнять, а не удивленно спросят - "что это за хрен с горы тут командует? Обос...лись эти узкие в своем днс? Ну так это их проблемы."

Ответить | Правка | Наверх | Cообщить модератору

185. Скрыто модератором +1 +/–

Сообщение от нах. (?), 31-Янв-24, 18:37

У меня для тебя, васенька, еще более печальная новость - DNS не подконтрольная тебе и вообще кому либо в одну харю инфраструктура.
Именно по этой причине тебя никогда не пустят им рулить в приличном месте. В национальной этой самой - можешь попробовать, там и не таких брали.
Нет, кэши в dns не управляются ttl. (То есть управляются но совсем не так просто как ты думаешь.)
В общем, твоя судьба - в нациаан@льный днс работать. Там все такие, тебе там будет хорошо.
> разослав крупным операторам оповещение по электронке
васян, мамой клянется - надо кэш сбросить. Я такое удалю даже не читая.

Ответить | Правка | К родителю #172 | Наверх | Cообщить модератору

228. Скрыто модератором +/–

Сообщение от Аноним (48), 01-Фев-24, 01:00

>DNS не подконтрольная тебе и вообще кому либо в одну харю инфраструктура
Да-да, примерно как веб, который на 80% обслуживается HTTP и DNS посредством единственной компании. 60% веб трафика идет с мобильных клиентов - еще целых две компании. Остальные 40% - через крупных провайдеров доступа, которых по миру сотни, крупнейших десятки, а по странам - единицы. Ты пойми, маленький украинец, технологии - это не магия и вещи в себе, а то, что люди поддерживают, чтобы осуществлять потребности клиентов. Мотивация у людей не в мелком выпендреже, как у тебя.
Вот просто спроси себя - чем ты лучше гпт? Лучше знаешь технологии? Нет. Лучше умеешь писать конфиги? Нет. Даже если нынешние гпт хуже тебя, будущие будут лучше - без вариантов. Лучше умеешь взаимодействовать по рабочим вопросам? "удалю даже не читая" - и снова нет... Твоя судьба на горизонте 5 лет - строительные работы или клининг.

Ответить | Правка | Наверх | Cообщить модератору

238. Скрыто модератором +/–

Сообщение от n00by (ok), 01-Фев-24, 09:07

> Вот просто спроси себя - чем ты лучше гпт? Лучше знаешь технологии?
> Нет. Лучше умеешь писать конфиги? Нет. Даже если нынешние гпт хуже
> тебя, будущие будут лучше - без вариантов. Лучше умеешь взаимодействовать по
> рабочим вопросам? "удалю даже не читая" - и снова нет... Твоя
> судьба на горизонте 5 лет - строительные работы или клининг.
Пока на коммерческом уровне все начальники позвонили своим яйцеголовым и сказали: срочно делай (свой аналог чата GPT и т. д.), и не обсуждай вопрос, надо это или нет. Потому что этого начальника суперкорпорации его более старший начальник, который ему позволяет эту корпорацию строить, зарабатывать, госденьги получать — он же его тоже спросит: а чего вы-то не сделали?
И этот хочет знать, что тому ответить. Если он может ответить, что работа ведётся, скоро будет — то всё нормально. А если — нет? Получается, он дурак. То есть это в общем, по-другому и не могло быть. Но на самом-то деле — мы должны это делать или нет? Это большой вопрос.

Ответить | Правка | Наверх | Cообщить модератору

182. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (255), 31-Янв-24, 18:20

Ну тебе на твоей впс и правда не нужна никакая атоматизация, быстрее руками DNSSEC отключить, чем разбираться зачем он нужен и как им пользоваться.

Ответить | Правка | К родителю #53 | Наверх | Cообщить модератору

120. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от nox. (?), 31-Янв-24, 14:36

> Небось ключи в зип архиве
Хорошо Вы о них думаете. В rar архиве.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

56. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от чатжпт (?), 31-Янв-24, 12:52

Вопрос не совсем в тему. В связи с блоком wg/openvpn кто-нибудь проверял, по ipv6 тоже блочат или еще нет?

Ответить | Правка | Наверх | Cообщить модератору

60. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +3 +/–

Сообщение от Этофиаско (?), 31-Янв-24, 12:55

> Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC
Но виновных как всегда нет и наказывать никого не будут? :)

Ответить | Правка | Наверх | Cообщить модератору

101. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –2 +/–

Сообщение от Секретный (?), 31-Янв-24, 13:49

Да, было бы неплохо возродить публичные порки на Красной Площади

Ответить | Правка | Наверх | Cообщить модератору

162. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +5 +/–

Сообщение от Аноним (162), 31-Янв-24, 15:41

А почему вы решили, что за это не накажут вас?

Ответить | Правка | Наверх | Cообщить модератору

62. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (-), 31-Янв-24, 12:55

Может ли это быть связано с массовыми просьбами заблокировать Ютуб?
(Неужели чебурнет все ближе?)
Или просто так совпало и можно не беспокоиться?

Ответить | Правка | Наверх | Cообщить модератору

67. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 13:00

А заблочили рутуб?
Даже для больных это перебор :)

Ответить | Правка | Наверх | Cообщить модератору

110. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –4 +/–

Сообщение от Ананий (?), 31-Янв-24, 14:16

> Может ли это быть связано с массовыми просьбами заблокировать Ютуб?
> (Неужели чебурнет все ближе?)
> Или просто так совпало и можно не беспокоиться?
Логику по тиктоку не преподают, но можно прояснить - как связанны проблемы с зоной .ru и твой воображаемый чебурнет, о котором зумерки толдычат лет десять? Делаем зону ру недоступной, чтобы что? Чтобы пропиарить рутуб? Как это работает в воспаленном мозгу мамкиных революцинеров? Не могу распарсить.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

111. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +5 +/–

Сообщение от Макдональдс (?), 31-Янв-24, 14:20

> воображаемый чебурнет
> воображаемый
Такой воображаемый, что половина сайтов без VPN уже давно не открывается. ;)
Да и работающий VPN попробуй найди. Мобильный инет через день глушат. Но да, повторяй дальше свои мантры, незумерок.

Ответить | Правка | Наверх | Cообщить модератору

197. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Тот_Самый_Анонимус_ (?), 31-Янв-24, 19:14

>(Неужели чебурнет все ближе?)
Тут, скорее, тестировалось отключение зоны .ру от макдакнета.

Ответить | Правка | К родителю #62 | Наверх | Cообщить модератору

72. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Neon (??), 31-Янв-24, 13:05

Вообще не заметил никаких сбоев. Узнал о них лишь из новостей.

Ответить | Правка | Наверх | Cообщить модератору

79. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 13:11

Вам повезло, ваш DNS сервер выполняющий рекурсию был с отключённым DNSsec.

Ответить | Правка | Наверх | Cообщить модератору

175. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от 1 (??), 31-Янв-24, 17:52

У меня все такие.

Ответить | Правка | Наверх | Cообщить модератору

121. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от nox. (?), 31-Янв-24, 14:37

Аналогично.

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

221. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (221), 31-Янв-24, 22:26

Я вечером тоже сидел с выключеным инетом..
Вообще не заметил работает ли он

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

270. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Kuromi (ok), 02-Фев-24, 03:35

На самом деле сбои были, но куда менее сильные чем писал народ. Ну да, кое что упало, вырубившийся Я.Такси когда тебе "ннада" это и правда неприятно, но в целом ничего такого страшного.

Ответить | Правка | К родителю #72 | Наверх | Cообщить модератору

81. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Всем Анонимам Аноним (?), 31-Янв-24, 13:20

Не знал, что в москве есть технический центр всего интернета
contact:      technical
name:         Technical Center of Internet
organisation: Technical Center of Internet
address:      8 Marta street 1, bld 12
address:      Moscow 127083
address:      Russian Federation (the)
phone:        +7 495 730 29 69
fax-no:       +7 495 730 29 68
e-mail:       ru-tech@tcinet.ru

Ответить | Правка | Наверх | Cообщить модератору

210. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +3 +/–

Сообщение от fuggy (ok), 31-Янв-24, 20:11

Если бы всего интернета он бы назывался Technical Center of the Internet само собой.

Ответить | Правка | Наверх | Cообщить модератору

82. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –3 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 13:20

А я вчера ловил лулзы с беспомощных ИТ специалистов как на хубре так и у провайдеров.
На хубре калеки всё что смогли придумать - прописать ещё раз 8.8.8.8, который тоже использует DNSSec и точно так же не работал.
Через час до некоторых стало доходить но прочитать man unbound они не смогли, потому вместо module-config: "iterator" удаляли опцию с путём до публичных ключей корневых днс серверов.
У провайдеров народ тоже не вдуплял что проблема в DNSSec и что это ваще такое. Но это видимо касалось тех кто на форуме отписался, у адекватных видимо DNSSec изначально был отключён и о проблемах рунета они узнали от других пострадавших сильно после.
В итоге пострадавшие разделились на группы:
- те кто выключил сам DNSSec и излечился
- те кто боялись что то трогать, типа мы нипонимать, не хотим больше сломать
- те у кого своего DNS сервера нет, они бомжи паразитирующие на других
- те кому нсдпи или как его там запихали по самые гланды и сами они шевелится боятся, ибо как бы чего не вышло, вдруг кто то запрещёнку увидит

Ответить | Правка | Наверх | Cообщить модератору

89. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –3 +/–

Сообщение от _oleg_ (ok), 31-Янв-24, 13:30

Ну ты нашёл где помощи искать - на околотехническом хабре. Там только поливать говном всё отечественное могут, вроде.

Ответить | Правка | Наверх | Cообщить модератору

102. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 13:49

Мне помощь не нужна, у меня на unbound домашнем DNSSec всегда выключен и проблема меня не задела.

Ответить | Правка | Наверх | Cообщить модератору

248. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sem (??), 01-Фев-24, 18:58

Зачем вам вообще интернет? Идите в пещеру.

Ответить | Правка | Наверх | Cообщить модератору

105. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Аноним (-), 31-Янв-24, 13:56

> на околотехническом хабре
И вполне логично, что они не сильно разобрались)
Ха, ты так пишешь, как-будто куча отечественного софта используется для dns.
Прям наша страна - центр разработки.

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

108. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от _oleg_ (ok), 31-Янв-24, 14:04

> Ха, ты так пишешь, как-будто куча отечественного софта используется для dns.
> Прям наша страна - центр разработки.
При чём тут именно dns? Там разве не всё обсирают, что не сделано иммигрантами на западе?

Ответить | Правка | Наверх | Cообщить модератору

239. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (2), 01-Фев-24, 12:15

А что, не за дело обсирают?
Последнее, что было сделано так, что не стыдно показать -- это Heroes of Might and Magic V. В 2006 году.
А, ну Касперский, конечно. Ещё раньше сделан, в 90е.

Ответить | Правка | Наверх | Cообщить модератору

240. Скрыто модератором +/–

Сообщение от _oleg_ (ok), 01-Фев-24, 12:22

> А что, не за дело обсирают?
На хабре? В основном нет, конечно. Там от некоторых сообщений за километр несёт оттопыренным мизинцем.

Ответить | Правка | Наверх | Cообщить модератору

181. Скрыто модератором +2 +/–

Сообщение от arthi747 (ok), 31-Янв-24, 18:19

Хабр это где две статьи из десяти про IT а остальные восемь про релокейшен в Грузию? Это ж донный сайт.

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

214. Скрыто модератором +/–

Сообщение от penetrator (?), 31-Янв-24, 21:06

поцреоцкие поделки я и зесь поливать могу, как собственно и хабр, рекламирующий всякое барахло уровня каспер+

Ответить | Правка | К родителю #89 | Наверх | Cообщить модератору

100. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +2 +/–

Сообщение от timur.davletshin (ok), 31-Янв-24, 13:47

Достаточно было в логи залезть, чтобы понять, что косяк в DNSSEC. И да, я юзаю DNSSEC.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

249. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sem (??), 01-Фев-24, 19:00

Даже не нужно в логи лезть. Пару dig, что бы понять, что это глобально сломалось и всё.

Ответить | Правка | Наверх | Cообщить модератору

123. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от nox. (?), 31-Янв-24, 14:38

> На хубре калеки всё
Не смешно. Там вообще хоть одна буква ценной информации бывает?

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

211. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от fuggy (ok), 31-Янв-24, 20:15

В официальной инструкции есть способ отключения dnssec как удаление пути до файла. Хотя отключить модуль было бы логичнее.

Ответить | Правка | К родителю #82 | Наверх | Cообщить модератору

87. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от _oleg_ (ok), 31-Янв-24, 13:28

Мы у себя проблему в 19:17 увидели, а в 19:40 уже вырубили нахер dnssec.

Ответить | Правка | Наверх | Cообщить модератору

98. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +2 +/–

Сообщение от timur.davletshin (ok), 31-Янв-24, 13:46

Аха, вот такие, когда видят ошибку сертификата, тоже клацают "Игнорировать".

Ответить | Правка | Наверх | Cообщить модератору

103. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 13:51

Я клацаю игнорить, потому что на 99% сайтах которые я посещаю TLS не нужен, я там даже не авторизуюсь, потому мне абсолютно всё равно хакнули их или нет.
И большая часть ошибок это про истёкший сертификат.

Ответить | Правка | Наверх | Cообщить модератору

127. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от timur.davletshin (ok), 31-Янв-24, 14:43

А потом, в тот момент, когда не нужно что-то делать, ты задним числом понимаешь, что зря это УЖЕ сделал на автомате. Что тебя остановит от клацания на автомате "Ignore"?

Ответить | Правка | Наверх | Cообщить модератору

142. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 14:54

Не нужно проецировать свои проблемы на других.
Я смотрю на сертификат только для тех сайтов где я авторизован и где эта авторизация чего то стоит.
Вот тут она ничего не стоит. А на сайтах банков стоит.
У гугла и некоторых других сертификаты припинены, и всякие мерзские HPTS автопиниги, так что там даже кнопки игнорирования нет.

Ответить | Правка | Наверх | Cообщить модератору

200. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от timur.davletshin (ok), 31-Янв-24, 19:22

> Не нужно проецировать свои проблемы на других.
Видал я таких умных, которые отправляли на автомате несколько миллионов в утиль, а потом оправдывались, что просто привыкли клацать. Нет у тебя такой защиты от дурака, ибо дураки все и я в том числе. Не надо вырабатывать у себя вредных привычек просто.

Ответить | Правка | Наверх | Cообщить модератору

250. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sem (??), 01-Фев-24, 19:02

Ему DNSSEC не нужен, TLS не нужен. Зачем он вообще сюда зашел, не ясно.

Ответить | Правка | Наверх | Cообщить модератору

145. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Самый умный из вас (?), 31-Янв-24, 14:59

Не знаю чем надо заниматься, чтобы часто видеть эти ошибки. Мне может раз в месяц показывается

Ответить | Правка | К родителю #127 | Наверх | Cообщить модератору

106. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от _oleg_ (ok), 31-Янв-24, 14:02

> Аха, вот такие, когда видят ошибку сертификата, тоже клацают "Игнорировать".
Какие такие, чудо? Какой большой смысл от dnssec у провайдера (имеется ввиду, не между клиентами и провайдером, а провайдером и апстримом)?

Ответить | Правка | К родителю #98 | Наверх | Cообщить модератору

109. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Аноним (7), 31-Янв-24, 14:13

Увы, таких помойных провайдеров полно. А DoH как раз и существует в том числе из-за того, что всегда найдётся подобный человеческий фактор и отключит dnssec.

Ответить | Правка | Наверх | Cообщить модератору

113. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от _oleg_ (ok), 31-Янв-24, 14:21

> Увы, таких помойных провайдеров полно. А DoH как раз и существует в
> том числе из-за того, что всегда найдётся подобный человеческий фактор и
> отключит dnssec.
А doh тебе зачем, болезный?

Ответить | Правка | Наверх | Cообщить модератору

115. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Аноним (7), 31-Янв-24, 14:27

Для исключения человеческого фактора у провайдера, говорю же. По факту лишняя работа, конечно, если бы нанимали только профессиональные кадры, этого бы не понадобилось. А так доверия из-за подобных инвалидов сегодня никакого.

Ответить | Правка | Наверх | Cообщить модератору

118. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от _oleg_ (ok), 31-Янв-24, 14:34

> Для исключения человеческого фактора у провайдера, говорю же. По факту лишняя работа,
> конечно, если бы нанимали только профессиональные кадры, этого бы не понадобилось.
> А так доверия из-за подобных инвалидов сегодня никакого.
Блин, как тяжело с такими... Ты на вопрос не ответил. Перечитай, не в падлу.

Ответить | Правка | Наверх | Cообщить модератору

126. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Аноним (7), 31-Янв-24, 14:42

А что тебе перечитать, если ты не осознаёшь, что защищать от провайдера до клиента смысла вообще около нуля? Я прямо ответил, это мера защиты от недобросовестных/некомпетентных сотрудников у провайдера, но она является костылём и смещением контроля от незаслуживающего доверия провайдера (который вообще-то получает деньги за свои услуги) левому васяну (действующему "бесплатно").

Ответить | Правка | Наверх | Cообщить модератору

140. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от _oleg_ (ok), 31-Янв-24, 14:52

> А что тебе перечитать, если ты не осознаёшь, что защищать от провайдера
> до клиента смысла вообще около нуля?
Ты с больной на здоровую голову не перекладывай. Что ты собрался защищать и почему смысла 0? DoT и DoH тебе помогут от всех защитить. Я уже запутался в твоих показаниях.
> Я прямо ответил, это мера
> защиты от недобросовестных/некомпетентных сотрудников у провайдера, но она является костылём
> и смещением контроля от незаслуживающего доверия провайдера (который вообще-то получает
> деньги за свои услуги) левому васяну (действующему "бесплатно").
Т.е. DoH это мера защиты от провайдерских сотрудников, так? ДОпустим. А в чём их недобросовестность?

Ответить | Правка | Наверх | Cообщить модератору

149. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 15:03

Ты не понял, DoT/DoH так же держат DNSSec включённым и точно так же вчера всех слали в /dev/null.
А провайдеры делают по тех регламентам и в пределах закона.

Ответить | Правка | К родителю #115 | Наверх | Cообщить модератору

232. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (232), 01-Фев-24, 03:52

> Ты не понял, DoT/DoH так же держат DNSSec включённым и точно так
> же вчера всех слали в /dev/null.
> А провайдеры делают по тех регламентам и в пределах закона.
Квадовский 9.9.9.10 без dnssec

Ответить | Правка | Наверх | Cообщить модератору

271. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 02-Фев-24, 03:49

> Квадовский 9.9.9.10 без dnssec
Unsecured: No Malware blocking, no DNSSEC validation (for experts only!)

Ответить | Правка | Наверх | Cообщить модератору

272. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 02-Фев-24, 03:51

> Квадовский 9.9.9.10 без dnssec
Note: We do not recommend mixing the secure and unsecured IP addresses in the same configuration. Your devices will not be protected 100% of the time and it leads to confusion when debugging potential problems.

Ответить | Правка | К родителю #232 | Наверх | Cообщить модератору

212. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от fuggy (ok), 31-Янв-24, 20:33

То есть ты просто доверяешь человеческому фактору другого провайдера?

Ответить | Правка | К родителю #115 | Наверх | Cообщить модератору

213. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (7), 31-Янв-24, 20:42

Я доверяю тому, что dnssec не будет отключен. Особенно, когда в конфиге доверие только провайдерам с dnssec, но и в целом там нет таких ламеров.

Ответить | Правка | Наверх | Cообщить модератору

217. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 21:27

Ну и сидите без доступа к сайтам при каждом чихе :)

Ответить | Правка | Наверх | Cообщить модератору

256. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (255), 01-Фев-24, 20:16

Во-первых, не при каждом. Большинство операторов всё же умеет пользоваться DNSSEC. Во-вторых, даже если завтра весь рунет погаснет, мир вряд ли заметит. В .ru ничего ценного за почти тридцать лет его существования не появилось, только убогие местячковые копии крупных зарубежных сервисов, интересные только совкам, твоя домашняя страничка на narod.ru.

Ответить | Правка | Наверх | Cообщить модератору

129. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от timur.davletshin (ok), 31-Янв-24, 14:44

DoH не исключает необходимости проверять DNSSEC. Вообще никак.

Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

138. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Аноним (7), 31-Янв-24, 14:49

> DoH не исключает необходимости проверять DNSSEC. Вообще никак.
DoH действует в обход провайдера с некомпетентными сотрудниками. Естественно, не исключает. Но можно было бы обойтись и без него, не перекладывая заботу проверки на пользователя.

Ответить | Правка | Наверх | Cообщить модератору

151. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 15:04

Вообще то исключает, за тебя это делает владелец DoT/DoH сервиса.

Ответить | Правка | К родителю #129 | Наверх | Cообщить модератору

166. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от timur.davletshin (ok), 31-Янв-24, 16:30

> Вообще то исключает, за тебя это делает владелец DoT/DoH сервиса.
Не придумывай. Нигде об этом в протоколе не говорится. Раз уж DoT упомянул, то тот же stubby специально оговорку об этом делает, и может делать проверку DNSSEC сам, а можно и при помощи dnsmasq.

Ответить | Правка | Наверх | Cообщить модератору

146. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 15:01

Нет.
DoH/DoT это желание гугла/анб залезть в штаны хомякам против их воли, под предлогом бизапаснасти.
Если раньше хомяк должен был сам прописать 8.8.8.8 чтобы слить всё своё гуглу и обойти примитивный блок на уровне днс провайдера, то теперь DoT/DoH впихнули прямо в браузер и включили по дефолту. С такой штукой никакая телеметрия не нужна, вы сами всё слили.
DoT/DoH защищает от насильственного перенаправления днс трафика на свой днс провайдером, это такая телеметрия которая против античеловечных режимов, только её зачем то по всему миру включают :)

Ответить | Правка | К родителю #109 | Наверх | Cообщить модератору

161. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (7), 31-Янв-24, 15:35

DoH вполне может быть и подконтрольным. К примеру, тот же dnscrypt гарантирует, что айпи и сайт настоящие, а в трафик злоумышленники не могут вмешаться. Проверки в браузере могут быть перенаправлены на него, это штатная функциональность.

Ответить | Правка | Наверх | Cообщить модератору

163. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –2 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 16:06

Чушь.
dnscrypt как и DoT/DoH гарантируют ровно тоже что и TLS: в ваш днс трафик никто не залез и не подсмотрел.
То что сайт настоящий - ну это ваще смешно, тут мало что поможет, кроме пининга самоподписных сертификатов и это при условии что сервер не взломают и не угонят TLS ключ или не заставят его проксировать откуда то.

Ответить | Правка | Наверх | Cообщить модератору

177. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (7), 31-Янв-24, 18:01

Всё же, это уже не те случаи, которые стоит рассматривать. Но на уровне днс вполне обеспечивает гарантии соответствия. Провайдеры-монополисты doh вполне могут быть и атакованы одновременно, вероятность того, что посыпется сразу куча нонейм dns-провайдеров как-то ниже (хотя можно попытаться вызвать отказ "лишних" и перенаправить трафик подконтрольному). Если только отключить dnssec, и вот бы в трафик как-то вмешаться, да. А можно не отключать и шифрованный трафик на то и шифрованный.

Ответить | Правка | Наверх | Cообщить модератору

196. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 19:13

Я вам по секрету скажу - рекурсер с кешем можно дома даже держать :)
У меня оно даже на мобильных карманных роутерах есть.

Ответить | Правка | Наверх | Cообщить модератору

134. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от timur.davletshin (ok), 31-Янв-24, 14:46

> Какой большой смысл от dnssec у провайдера (имеется ввиду, не между клиентами и провайдером, а провайдером и апстримом)?
С терминологией разберись сперва.
> Какие такие, чудо?
Вот такие, которые даже терминологии не освоили, но уже лезут отключать то, смысл чего ещё не поняли.

Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

141. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от _oleg_ (ok), 31-Янв-24, 14:53

>> Какой большой смысл от dnssec у провайдера (имеется ввиду, не между клиентами и провайдером, а провайдером и апстримом)?
> С терминологией разберись сперва.
А что тебя смущает?
> Вот такие, которые даже терминологии не освоили, но уже лезут отключать то,
> смысл чего ещё не поняли.
Какие такие?

Ответить | Правка | Наверх | Cообщить модератору

144. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 14:57

Клиентам DNSSec не нужен, да и провайдерский сервер его может разве что ретранслировать, нагружая ничего не стоящую полосу бесполезным трафиком.
А вот говорить про апстримоский DNS - моветон.
Технически у провайдера должен стоят свой рекурсер с кешем, а не побирайка от апстримов или всяких 8.8.8.8.
И вот в этом месте некоторые считают что DNSSec нужен. Но я с этим не согласен, ибо как показывает практика проблем от его включения больше и они эпичнее :)

Ответить | Правка | К родителю #106 | Наверх | Cообщить модератору

150. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от _oleg_ (ok), 31-Янв-24, 15:04

> Технически у провайдера должен стоят свой рекурсер с кешем, а не побирайка
> от апстримов или всяких 8.8.8.8.
Так и делают. Давно уже не помню, что бы магистралы dns давали, но и когда давали их не брали. Нет смысла. Лишняя точка отказа.
> И вот в этом месте некоторые считают что DNSSec нужен.
Ну вот, я ж и спрашиваю у местных параноиков - зачем? Какую-то мантру бездумно повторяют заученную и ничего вменяемого не пишут...

Ответить | Правка | Наверх | Cообщить модератору

152. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 15:06

На наге одмины провайдеров тоже не могут объяснить зачем им DNSSec нужен, в книжке прочитали и поверили :)

Ответить | Правка | Наверх | Cообщить модератору

155. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от _oleg_ (ok), 31-Янв-24, 15:11

> На наге одмины провайдеров тоже не могут объяснить зачем им DNSSec нужен,
> в книжке прочитали и поверили :)
Давно там не был :-). Но на наге так-то школьников разы меньше, чем здесь. Так что странно, конечно.

Ответить | Правка | Наверх | Cообщить модератору

180. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (255), 31-Янв-24, 18:08

Перечислишь админов и провайдеров по именам или ты это «чисто по ощущениям» знаешь?

Ответить | Правка | К родителю #152 | Наверх | Cообщить модератору

198. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 19:14

Сам у них спрашивайте: https://forum.nag.ru/index.php?/topic/129992-xyz-upal/page/37/

Ответить | Правка | Наверх | Cообщить модератору

132. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от Аноним (132), 31-Янв-24, 14:44

А кто же это сделал?

Ответить | Правка | Наверх | Cообщить модератору

168. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –1 +/–

Сообщение от Sw00p aka Jerom (?), 31-Янв-24, 16:35

ессественно новенький админ, которого не курсанули, что при смене ключей необходимо заранее сообщить тов. майору :)

Ответить | Правка | Наверх | Cообщить модератору

251. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sem (??), 01-Фев-24, 19:04

Если бы новенький админ, то не выпускали бы отчет со смыслом "это не мы такие, это DNSSEC такой. И вообще, переходите все на НСДИ.".

Ответить | Правка | Наверх | Cообщить модератору

252. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sem (??), 01-Фев-24, 19:06

https://cctld.ru/media/news/kc/35566/

Ответить | Правка | Наверх | Cообщить модератору

261. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 01-Фев-24, 22:13

> https://cctld.ru/media/news/kc/35566/
"""
Возникшая коллизия ключей, в причинах которой в настоящее время продолжают разбираться специалисты Технического центра интернет (ТЦИ) и MSK-IX, привела к временной недоступности зоны .RU для части интернет-пользователей.
После обнаружения сбоя обновленные ключи были отозваны, и работоспособность зоны .RU в полном объеме восстановилась, что заняло, включая распространение данных по системе DNS, около двух часов.
""""
Какая нахрен коллизия? коллизия с чем? с каким другим ключем? если ключи независимые. Там можно записи подписывать одновременно обоими ключами (ZSK).
Раздел 4.1.1.2.  Double-Signature Zone Signing Key Rollover
https://www.rfc-editor.org/rfc/rfc6781

Да это все работало даже в том случае если добавили бы один и тот же ключ с другим key_id и подписали бы записи. Какой нафиг отзыв? Это термин из PKI. А что за бред про "в полном объеме восстановилась, что заняло, включая распространение данных по системе DNS,". Никто не кеширует богусную зону. Восстановилась именно сразу после того как "правильно все было переподписано". Хотя по моей версии все там правильно было переподписано, ибо этот процесс происходит каждый квартал. Нового админа не курсанули, чтобы ключи вовремя отослал тов. майору, вот и все.

Ответить | Правка | Наверх | Cообщить модератору

273. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от n00by (ok), 02-Фев-24, 07:56

Коллизия - это, например, когда хеши от разных данных совпали. Тут требуется квалифицированный конспиролог, способный объяснить, почему поля Галуа весьма далеки от Эйфелевой башни.

Ответить | Правка | Наверх | Cообщить модератору

274. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 02-Фев-24, 09:23

- Почему у тебя нос сломан?
- Потому-что он столкнулся (коллизия) с чужим кулаком
Счастливое число Слэвина (ц)

Ответить | Правка | Наверх | Cообщить модератору

275. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 02-Фев-24, 09:48

Допускаем, сгенерировали 1024 битный ZSK ключ rsa, его хеш sha256 (ибо algo_id=8) как вы говорите столкнулся c хешем какого ключа? Со старым ключем ZSK? Ну и что?

Ответить | Правка | К родителю #273 | Наверх | Cообщить модератору

277. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от n00by (ok), 02-Фев-24, 13:00

Тут задача из разряда "кто даст правильный ответ - тот получит 10 лет".

Ответить | Правка | Наверх | Cообщить модератору

278. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 02-Фев-24, 16:00

> Тут задача из разряда "кто даст правильный ответ - тот получит 10 лет".
ага, "кто купит билетов пачку" ... XD
Обратим внимание на данное утверждение:
"""
что главной причиной сбоя стало несовершенство программного обеспечения, используемого при создании ключей шифрования.
"""
Вопрос, какого ПО? Сделаю предположение - самописного, своего рода "панель управления", в которой можно сгенерить ключ для зоны и подписать записи. Отсюда:
"""
Как и любое другое технологическое решение, DNSSEC требует усовершенствования с течением времени, чтобы исправить обнаруживаемые ошибки работы.
"""
Вопрос, так DNSSEC требует усовершенствование или ваше "самопальное" ПО?
"""
Возникшая коллизия ключей
"""
Предполагаем возникновение коллизии созданного ключа. Как вы заметили, коллизия с хешем может быть от ключа, но с каким другим ключом? При генерации нового ключа (ZSK) существует ОДИН текущий актуальный активный ключ. Вероятно их ПО при запросе на переподписывании выбирало ключ из (где они там хранят ключи - не знаю) "базы" по хешу ключа, и напоролась на актуальный активный текущий ключ, взяла его и переподписала зону. Если коллизия произошла именно с этим ключем, то в чем проблема? Разве подпись ресурсных записей должна была быть невалидной? Ключ ведь актуальный активный никто ведь не удалял. Может key_tag неверный был у ресурсных записей? - НЕТ. Судя по dnsviz второй ключ был добавлен еще числа 26-го.
256 3 8 AwEAAbjj3GP0TUwaNI7BIIw/fvwKTmdR +oZsEPk64pl8VYn4dfdbGHWpYIooxcgEbuBEYrnC/oqnKhad38nTxrZ9SAK3qV5qShntFdgozS5IKs5m1ebNmg2sotlhXRhJ4vqgH+BQh/lw6T4vdB8FE5tHGE1vwPs9Vhj0vLTBhX8TwB6/ ; key tag = 52263
256 3 8 AwEAAcBtr/w2hP6OQjiCacPFzK6xh0pR 7QsHV9lxprIXG9WBoBB5XWPVc5q17F3yt3wpJ7xmedt80gxVMaicPYNYAa8YUFyMxTGVBDVQlz5gCmXQKlr0yImI78sdwzWNmgKHap0BLypTBVxAKxpcvuwTmqXQUSONkjq9werHvogrvkUb ; key tag = 44301
key tag - по сути должен храниться вместе с ключевой парой, и ситуация с коллизией описанной выше, по идее должна была выставить в качестве key tag в RRSIG не новый key tag = 52263, а "старый" текущий актуальный key tag = 44301.
НО - судя по dnsviz
NS 8 1 345600 20240305102631 20240130141847 52263 ru. kw9oqgvi/l0MZp/6FY0Ha+VZDWRR3+iDUCYqAY5W7D2wCfIXXdOOvdd58nNY7z/3b4fRK6tlTF3wQpCDSpeKrmkWmric4kcUptaj1rp71lC0GHXHmGwDsx8Zi/lvo6sJEk0guBbJYBJkzKqeseD4u1Pw29jkRHhQEJKk2seP+Zk=
у битой сигнатуры был выставлен key tag = 52263 - нового ключа, так почему же она оказалась битой?
Представим примитивное хранение ключевых пар
key_tag, pub_key, priv_key, hash
  44301, pub_cur, priv_cur, hash_cur
  52263, pub_new, priv_new, hash_new
Ну вот тут если hash_cur==hash_new и сделать выборку по hash, то какая разница какой из ключей выбрался бы, результат был бы - валидная сигнатура, ибо ситуация возьми priv_cur (текущий приватный ключ) и выстави key tag от ключа priv_new - ИСКЛЮЧАЕТСЯ!!!.
Так в чем же причина битой сигнатуры? А теперь допустим куда реалистичную ситуацию. Опять представим примитивное хранение ключевых пар:

key_tag, pub_key, priv_key, hash
  44301, pub_cur, priv_cur, hash_cur
  52263, pub_new, priv_new, hash_new
  12345, pub_old, priv_old, hash_old
  22222, pub_001, priv_001, hash_001
  33333, pub_002, priv_002, hash_002
  52263, pub_123, priv_123, hash_123
Допускаем, что они не удаляли старые ключевые пары, и среди ключей коллизия должна была быть не только по hash, но и одновременно по key_tag, так как key_tag в битых сигнатурах был от якобы нового опубликованного ключа. Но коллизия по hash двух 1024 битовых rsa ключевых пар мне кажется мало вероятной, склоняюсь к тому, что коллизия могла произойти по key_tag.
Вывод: Читаем внимательно https://datatracker.ietf.org/doc/html/rfc4034#appendix-B

key_tag не обязан быть уникальным, отсюда вся беда с коллизией в том, что НАКОЙ ХРАНИТЬ СТАРЫЕ КЛЮЧИ?

Ответить | Правка | Наверх | Cообщить модератору

281. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 08-Фев-24, 14:43

для истории
"""
Из письма ТЦИ следует, что сбой длился 30 января с 18:28 до 21:00 мск и затронул сайты в доменных зонах *.RU, .tatar и .дети. Сбой произошёл при замене старого ключа для проверки подлинности записей в файле зоны на новый. Подобные замены — плановые, для домена *.RU они производятся четыре раза в год, очередная началась 24 января. «В результате сбоя конфигурации в системе [30 января при активации нового ключа] оказались две пары ключей с одинаковым keytag (16-битный тег, который вычисляется по алгоритму от данных ключа», — отмечается в разъяснении ТЦИ. Коллизия с одинаковыми keytag в системе в нем объясняется «сбоем программного обеспечения».
"""
https://habr.com/ru/news/792176/

Ответить | Правка | Наверх | Cообщить модератору

171. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +3 +/–

Сообщение от Sw00p aka Jerom (?), 31-Янв-24, 16:59

> А кто же это сделал?
и прикол в том, что они на протяжении нескольких часов не вкуривали почему сигнатуры битые :) и тут вовсе не в кеше резолверов дело (зона богусной была и в кеш не сохранялась). Второй ключ был добавлен по рфц - заранее, а потом после определенного периода необходимо было просто переподписать записи новым ключем. Вот и переподписали, как и всегда переподписывали, но что-то пошло не так :)

Ответить | Правка | К родителю #132 | Наверх | Cообщить модератору

193. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +1 +/–

Сообщение от нах. (?), 31-Янв-24, 19:08

я подозреваю в их офисе резко отвалился интернет, 4ge тоже пошло по п-де (кто не в курсе там без dns даже симку не зарегистрировать) и стало ну ооочень сложно что-либо траблшутить.
А националпредатели типа тебя, у которых вся внутренняя, внешняя и домашняя инфра не на gtld ru и которые наоборот не сразу даже заметили что что-то не так - в таком месте не работают.

Ответить | Правка | Наверх | Cообщить модератору

220. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 31-Янв-24, 22:25

> А националпредатели типа тебя
лол, кек у меня opennet.ru не открывался, вот и заметил :) а байки про то, что не тем ключем подписали или ПО днссека какое-то не такое, будете внукам рассказывать.

Ответить | Правка | Наверх | Cообщить модератору

160. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." –2 +/–

Сообщение от Аноним (160), 31-Янв-24, 15:24

Или их хакнули или они в очередной раз попробовали пропихнуть свои интернет по паспорту. И то и то не сработало. И то и то плохо. Может быть отключение защиты DNS на стороне провайдеров - это как раз то, чего они ждали? Может не стоит? Может пора переходить на CloudFlare?

Ответить | Правка | Наверх | Cообщить модератору

164. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (164), 31-Янв-24, 16:12

Еще Воланд говорил Канту за завтраком про DNSSEC: «Вы, профессор, воля ваша, что-то нескладное придумали! Оно, может, и умно, но больно непонятно.»

Ответить | Правка | Наверх | Cообщить модератору

178. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +4 +/–

Сообщение от Аноним (255), 31-Янв-24, 18:06

В очередной раз убедились, что DNSSEC отлично работает. И в том, что людей понимающих как он работает и как им пользоваться крайне мало. Последнее так же хорошо видно по переписи отключающих DNSSEC. Неуловимо напоминает рассказы «бывалых» про ненужность ремней безопасности.

Ответить | Правка | Наверх | Cообщить модератору

201. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 19:24

Зачем нужен ремень безопасности когда ты находишься в жидкой среде близкой по плотности к твоему телу и всё вместе это находится в поле поглощающем инерцию?!
Фонаты включения DNSSec так и не могут объяснить зачем оно надо когда везде TLS.
И не могут показать ни одной успешной атаки в реальном мире по отравлению кеша.
Но DNSSec дОлжон быть включён, ведь в книжке же написано!
А мутанты радеющие за суеверность или суверенность чебурнета не могут объяснить как чебурнет будет работать когда амеры/ican разделегирует .ru зону или "неудачно" что то там поменяют с DNSSec для этой зоны.

Ответить | Правка | Наверх | Cообщить модератору

204. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (255), 31-Янв-24, 19:32

> Фонаты включения DNSSec так и не могут объяснить зачем оно надо когда везде TLS.
«Фонаты» действительно много чего не могут. Попробуй спросить знающих людей.
> И не могут показать ни одной успешной атаки в реальном мире по отравлению кеша.
Вчера вкатился в айти по трёхмесячным курсам? Атаки по отравлению кэша перестали хорошо работать в какой-то момент, и причина тому отчасти DNSSEC.
> А мутанты радеющие за суеверность или суверенность чебурнета не могут объяснить как чебурнет будет работать когда амеры/ican разделегирует .ru зону или "неудачно" что то там поменяют с DNSSec для этой зоны.
Вижу, что как работает DNS и DNSSEC в частности ты просто не знаешь.

Ответить | Правка | Наверх | Cообщить модератору

209. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 31-Янв-24, 20:04

> Попробуй спросить знающих людей.
Те не вас?)

> Атаки по отравлению кэша перестали хорошо работать в какой-то момент
Покажите примеры успешных атак, потому что я читал только про лабораторные опыты в контролируемых условиях.
На практике слать 2^15 пакетов с фейковым ответом и надеятся попасть раньше ответа - такое себе.

Ответить | Правка | Наверх | Cообщить модератору

218. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (255), 31-Янв-24, 21:29

> Те не вас?)
Как скажешь.
> Покажите примеры
Я тебе покажу, а ты скажешь, что я «фонат» и придумаешь, почему это тоже лабораторный опыт. Не первый месяц тебя наблюдаю, знаю что ожидать. В очередной раз убедился, что доказывать кому-то что-то на опеннете — такое себе.

Ответить | Правка | Наверх | Cообщить модератору

226. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 01-Фев-24, 00:15

> На практике слать 2^15 пакетов с фейковым ответом и надеятся попасть раньше ответа - такое себе.
кек, а че это много разве? одновременно досишь неймсервер, который должен прислать ответ, и шлешь 2^n пакетов на сервер рекурсивного резолвер, кеш которого хотим отравить. (ток не забываем врубить спуфинг)
А вот в случае с подписью днссек отравить кеш не получится. Даже если проспуфить и подсунуть ключ этого неймсервера. Надо проспуфить всю цепочку ключей от корня.

Ответить | Правка | К родителю #209 | Наверх | Cообщить модератору

234. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Ivan_83 (ok), 01-Фев-24, 06:51

Нет, не много, но 2^16 надо слать на все порты, обычно это 1024-65535.
Те примерно ближе к 2^30 - 2^31.
Я там выше уже описал простой механизм противодействия этому: когда на сервере видим кучу ответов для которых не было запросов то помечаем домен как атакуемый и резолвим его по TCP.
Худьшим вариантом станет возможность переключить на резолвинг через TCP и немного увеличить задержки при первом резолве. Юзеры не заметят.

Ответить | Правка | Наверх | Cообщить модератору

257. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (255), 01-Фев-24, 20:30

> когда на сервере видим кучу ответов для которых не было запросов то помечаем домен как атакуемый и резолвим его по TCP.
Это ты отлично придумал! Теперь можно не только замедлить разрешение имён в атакуемом домене, но ещё и повалить твой рекурсор банальным TCP досом.
> немного увеличить задержки при первом резолве. Юзеры не заметят.
Не только заметят, но ещё и начнут жаловаться. Для многих компаний увеличение задержек ответов от рекурсора на 1ms — нештатная ситуация, требующая немедленного вмешательства. Кексперт опеннета как есть.

Ответить | Правка | Наверх | Cообщить модератору

279. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (279), 03-Фев-24, 05:36

> ля многих компаний увеличение задержек ответов от рекурсора на 1ms — нештатная ситуация, требующая немедленного вмешательства.
Примеры таких компаний?

Ответить | Правка | Наверх | Cообщить модератору

242. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Kuromi (ok), 01-Фев-24, 15:40

Когда "амеры" это сделают, по ТВ просто скажут что надо везде прописать суверенные DNS серверы и все.
Примерно так получилось с выключением Мастеркарда\Визы - локальный эффект никакой.
С удалением приложений банков из Гугль Плей в общем эффект вышел почти обратный - сначала sideloading помог, а потом по факту добились запуска локальных альт-магазинов приложений.

Ответить | Правка | К родителю #201 | Наверх | Cообщить модератору

263. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 01-Фев-24, 22:46

> Фонаты включения DNSSec так и не могут объяснить зачем оно надо когда
> везде TLS.
TLS у вас от вашего браузера до "8.8.8.8". А DNSSEC от "8.8.8.8" до остальных неймсерверов.
> Но DNSSec дОлжон быть включён, ведь в книжке же написано!
Да, включен должен быть на рекурсивном резолвере.
> А мутанты радеющие за суеверность или суверенность чебурнета не могут объяснить как
> чебурнет будет работать когда амеры/ican разделегирует .ru зону или "неудачно" что
> то там поменяют с DNSSec для этой зоны.
Делов то, попросят всех добавить "корневые-скрепные" сервера в файлик named.root :)

Ответить | Правка | К родителю #201 | Наверх | Cообщить модератору

179. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +2 +/–

Сообщение от DragonX256 (ok), 31-Янв-24, 18:06

А ведь ~47 минут назад подпись всё-таки успешно поменяли...
https://dnsviz.net/d/ru/ZbpWZg/dnssec/

Ответить | Правка | Наверх | Cообщить модератору

241. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Kuromi (ok), 01-Фев-24, 15:36

На уровне слуховых слухов вся ситуация с заменой ключей DNSSEC отлично ложится на активизацию продвижения суверенного Нацсертификата. Сейчас даже Тинькофф на своих страницах оплаты\подтверждения карточных операций стал настойчиво просить поставить сертификат.

Ответить | Правка | Наверх | Cообщить модератору

262. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Sw00p aka Jerom (?), 01-Фев-24, 22:30

> На уровне слуховых слухов вся ситуация с заменой ключей DNSSEC отлично ложится
> на активизацию продвижения суверенного Нацсертификата. Сейчас даже Тинькофф на своих страницах
> оплаты\подтверждения карточных операций стал настойчиво просить поставить сертификат.
есть такая гипотеза, а как иначе всех со всяких "восьмерок" и "единичек" перевести на "замещенное". Но есть одно НО, "замещенные" с включенными валидаторами днссек так же не работали :)

Ответить | Правка | Наверх | Cообщить модератору

269. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Kuromi (ok), 02-Фев-24, 02:25

>> На уровне слуховых слухов вся ситуация с заменой ключей DNSSEC отлично ложится
>> на активизацию продвижения суверенного Нацсертификата. Сейчас даже Тинькофф на своих страницах
>> оплаты\подтверждения карточных операций стал настойчиво просить поставить сертификат.
> есть такая гипотеза, а как иначе всех со всяких "восьмерок" и "единичек"
> перевести на "замещенное". Но есть одно НО, "замещенные" с включенными валидаторами
> днссек так же не работали :)
Ну сорянчик, "боли роста", бывает.

Ответить | Правка | Наверх | Cообщить модератору

276. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..." +/–

Сообщение от Аноним (276), 02-Фев-24, 11:33

роскомпозор пилит суверенный днс с подменой ключей, больше всех попали мобильные у которых сорм по умолчанию.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	–2 +/–
Сообщение от Аноним (1), 31-Янв-24, 11:33
>после перехода на новый ключ из-за ошибки перестала проходить проверка подлинности А в чем ошибка была, собственно?
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+15 +/–
	Сообщение от Аноним (9), 31-Янв-24, 11:44
	Записи в зоне RU другим ключом подписали, не тем, что указан в записи DNSKEY. Они параллельно пилят отечественный изолированный DNS (НСДИ, национальная система доменных имён), видимо ключи c ним перепутали. Но подробностей что у них случилось пока нет, лишь общие отписки.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	–8 +/–
	Сообщение от Аноним (28), 31-Янв-24, 11:58
	А почему давно не запилили, DNS разве не на СПО зиждится?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	77. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+2 +/–
	Сообщение от Ананий (?), 31-Янв-24, 13:10
	Причем тут СПО и зачем что-то пилить? Косплеить корневой сервер можно хоть на MS Шиндовс Все и так готово к своим доменным именам. Делаешь свой корневой сервер, пилишь там свои зоны с поэтессами и настраиешь свой комплюктер на взаимодействие с ним. Все тоже самое, но в масштабах государства. Если захотят прозрачно, то из-за этих ваших днс-секов и днс-офер-хттп клаудфларесеков - не получится. А так заворачивать 8.8.8.8 на свои научились уже давно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	36. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	–5 +/–
	Сообщение от Аноним (36), 31-Янв-24, 12:15
	> Записи в зоне RU другим ключом подписали, не тем, что указан в записи DNSKEY. Похоже, у них там свой набор верхних корневых днс-серверов. Его ключом и подписали. Но выдали в запросах с общепринятых корневых, а не со своих. Ждать осталось недолго, когда теневая система заменит основную. Шифрование/сертификаты - там всему можно перестать доверять уже сейчас.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	42. Скрыто модератором	+7 +/–
	Сообщение от Бывалый смузихлёб (?), 31-Янв-24, 12:28
	> там всему можно перестать доверять уже сейчас Блажен кто верует что западным штуковинам можно было доверять википедия соврать не даст
	Ответить \| Правка \| Наверх \| Cообщить модератору


	51. Скрыто модератором	+1 +/–
	Сообщение от Аноним (51), 31-Янв-24, 12:39
	Думаю, западным спецслужбам до Васяна из опеннета дела нет. А вот нашим - есть. Так что безопаснее использовать то, до чего нет доступа спецслужбам твоей страны, где бы эта страна не находилась.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+/–
	Сообщение от Аноним (37), 31-Янв-24, 12:15
	>видимо ключи c ним перепутали А какой смысл использовать разные ключи?
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	52. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+2 +/–
	Сообщение от нах. (?), 31-Янв-24, 12:44
	НСДИ они тоже положили. Но поскольку это кого надо НСДИ, там быстренько почистили кэш и сделали вид что так и было. Впрочем, второй возможный и даже более вероятный вариант - что "перепутали" намеренно.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	54. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+1 +/–
	Сообщение от Аноним (54), 31-Янв-24, 12:49
	>Но поскольку это кого надо НСДИ Наверное больше потому, что от НСДИ почти никто из потребительского сегмента пока не зависит, поэтому прошло почти незаметно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+2 +/–
	Сообщение от нах. (?), 31-Янв-24, 12:52
	Еще как уже зависят. Просто тебе об этом не доложат. Просто поскольку он сам себе корень - его дернуть можно было без шума и пыли. Ну а насколько оно нечаянно получилось (те кто переключили свои ресолверы на НСДИ вряд ли сегодня отключат) - это вот вопрос к товарищмайору. Но у нас с тобой не те звания чтоб нам донесли ответ.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	85. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+1 +/–
	Сообщение от San (??), 31-Янв-24, 13:24
	Докладываю: ни один провайдер долго не проработает, если его днс-серверы не будут подключены к НСДИ. Могу утверждать, как сотрудник провайдера выполнявший данные требования на днс-серверах нашей компании.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	86. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+1 +/–
	Сообщение от нах. (?), 31-Янв-24, 13:27
	А чего тут тогда все у всех навернулось? Они ж там всепачинили через пять минут после того как кто-то умный показал на ошибку. Где-то что-то ты привираешь. Как они могут проверить что и куда у тебя там подключено? Роспозоровская коробка этого не умеет, никаких "ежедневных выгрузок" (где тоже смешно потому что проверяется что ты их скачал а не куда именно засунул) и вроде никаких очевидных способов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	122. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+/–
	Сообщение от Ivan_83 (ok), 31-Янв-24, 14:38
	Есть разные схемы подключения к НСДИ.
	Ответить \| Правка \| К родителю #85 \| Наверх \| Cообщить модератору


	154. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+3 +/–
	Сообщение от Аноним (154), 31-Янв-24, 15:08
	>НСДИ они тоже положили. Но поскольку это кого надо НСДИ, там быстренько почистили кэш и сделали вид что так и было. Быстренько? Да он минут 20 косплеил под всех отвечая на всё SRVFAIL. А потом там додумались или отключить валидацию или подсунуть свой ключ. А корень .ru просто за DDoSили резолверы, которые тыкались во все прописанные в зоне адреса, получали подписанный ответ, проверяли, выкидывали и так по кругу. >Впрочем, второй возможный и даже более вероятный вариант - что "перепутали" намеренно. Да не, это хорошо. Представляю, сколько лавок вспомнило, что умный админ таки нужен, а не "Петрович из отдела продаж настроил, он умеет".
	Ответить \| Правка \| К родителю #52 \| Наверх \| Cообщить модератору


	153. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+/–
	Сообщение от Sw00p aka Jerom (?), 31-Янв-24, 15:08
	может железке по середке не установили новый ключ? :)
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	39. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	–6 +/–
	Сообщение от Bonjovi (?), 31-Янв-24, 12:20
	Здесь все намного проще. Перед выборами шaтaют не только интернет, но и сотовую сеть. У меня и еще нескольких соседей последнюю неделю МТС жестко сбоил (отключалась симка, пропадала связь, либо не работал мобильный инет). Читал, что на днях к опcоcам пришли в гости cилoвики и опять что-то там "модернизировали". Видимо, готовятся к неким событиям ближайшего будущего... Так что впереди нас ждет еще много интересного...
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	215. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	–5 +/–
	Сообщение от Аноним (215), 31-Янв-24, 21:14
	4ебурнет на завершающей стадии
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+1 +/–
Сообщение от Аноним (2), 31-Янв-24, 11:34
ЯПОЭЗ: https://sockpuppet.org/blog/2015/01/15/against-dnssec/
Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	–1 +/–
	Сообщение от Ivan_83 (ok), 31-Янв-24, 12:53
	+1 DNSSec для конечных потребителей устарел с тех пор как гугл всех на https натянул. У меня собственный unbound дома с отвключённым валидатором DNSSec и вчера никаких проблем с инетом не было. Некоторые провайдеры тоже додумались что так можно починить, остальные просто жевали сопли и не понимали что происходит и что делать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	–3 +/–
	Сообщение от Аноним (63), 31-Янв-24, 12:56
	DNSSec - это защита от недобросовестности Гугла, не?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+2 +/–
	Сообщение от Ivan_83 (ok), 31-Янв-24, 13:08
	Нет. Это когда то ходили байки что можно отравить кеш резолвера посылая ему постоянно фейковые ответы, и однажды когда он пошлёт реальный запрос фейковый ответ может придти раньше и пользователи его использующие пойдут на сервер хакера ничего не замечая. Тогда https был только у банков и чудиков с деньгами. В те времена с таким не заморачивались :) Но для обеспокоенных былы варианты: - перевести резолвер на TCP и наслаждатся медленной работы (TCP Fast Open = TFO тогда не было) - "use-caps-for-id" - в общем резолвер слал mAIl.Com рандомизируя капитализацию букв и сверял ответ чтобы там было так же, это добавляло расширяло уникальный ID+src port запроса ещё каким то количеством рандомных бит неизвестных атакующему. Но проблема в том, что многие присылали ответ сделав все буквы большими или маленькими и резолвинг отдельных доменов или даже зон ломался. Как сейчас не знаю, давно не включал :)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	88. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	–1 +/–
	Сообщение от нах. (?), 31-Янв-24, 13:30
	> +1 > DNSSec для конечных потребителей устарел с тех пор как гугл всех на > https натянул. да он и раньше-то нахрен был не нужен. Очередная диверсия от профессоров далеких от реальности и не пользующихся компьюктором, на денежки которые все равно нельзя было потратить на гостинницу в Майами (а вот тут стало можно - мы соберем в ней конференцию по DNSSEC!) > У меня собственный unbound дома с отвключённым валидатором DNSSec и вчера никаких > проблем с инетом не было. а там точно нет каких glue records которые просто перестали отдаваться?
	Ответить \| Правка \| К родителю #57 \| Наверх \| Cообщить модератору


	94. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+1 +/–
	Сообщение от Ivan_83 (ok), 31-Янв-24, 13:37
	Я не дебажил. Перезапустил пару раз unbound ради интереса, надеялся что отвалится но нет, как работало так и продолжило. Насколько я понял проблема была в том, что для зоны ru ответы всех DNS серверов второго+ уровня стали дропатся как не валидные из за DNSSec. А раз он у некоторых был отключён то для них ничего не поменялось.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	136. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+/–
	Сообщение от нах. (?), 31-Янв-24, 14:48
	> Я не дебажил. > Перезапустил пару раз unbound ради интереса, надеялся что отвалится но нет, как > работало так и продолжило. а там на диске нет кэша gtld ? > Насколько я понял проблема была в том, что для зоны ru ответы > всех DNS серверов второго+ уровня стали дропатся как не валидные из > за DNSSec. там вопрос в том чтоб . тебе glue records отдал - а то он же полезет (или нет?!) проверять в зону ru, ой, ключ неправильный, нибуду нихачю натебе servfail
	Ответить \| Правка \| Наверх \| Cообщить модератору


	159. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+/–
	Сообщение от Ivan_83 (ok), 31-Янв-24, 15:21
	На диске вроде никаких кешей нет, только рутовые сервера и может их ключи. DNSSec у меня выключен: module-config: "iterator" (если бы включён был то это "validator iterator"), поэтому никаких ошибок в принципе нет и не будет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	202. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+1 +/–
	Сообщение от fuggy (ok), 31-Янв-24, 19:28
	Ну да выходит валидатор выключил и не увидел возможной подмены днс, в то время как остальных dnssec защитил от возможной подмены. Безопасность уровня: я отключил антивирус, а то он пищит и мешает файлы открывать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	208. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+/–
	Сообщение от Ivan_83 (ok), 31-Янв-24, 19:57
	Покажите мне успешные атаки на отравление кеша, тогда будет иметь смысл продолжать. Атаки от человека посредине - DNSSec им не помеха совсем, ибо можно сразу начать вырезать весь DNSSec либо вместо возни с ним перенаправить на уровне IP трафик на нужный сервер.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	244. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+/–
	Сообщение от Sem (??), 01-Фев-24, 18:40
	Твоя безопасность - это твое дело. Никто не должен тебе ничего доказывать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	243. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+1 +/–
	Сообщение от suffix (ok), 01-Фев-24, 16:55
	Ну не скажите. Допустим у Вас очень большое количество пользователей ведут переписку по email. Руководство озаботилось шифрованием переписки и выбрало для этого s/mime. Ну получили Вы сертификаты s/mime на каждый email адрес. И как теперь распространить это по всей огромной толпе пользователей ? А сертификаты ещё и менять периодически надо ! Всем пользователям устанавливается Thunderbird и плагин к нему Great DANE for Thunderbird, а все сертификаты s/mime помещаются в DNS записи SMIMEA. И всё будет проверяться, шифроваться автоматом у всех и менять сертификаты легко - достаточно запись SMIMEA изменить. Разумеется чтобы это надёжно работало эти записи SMIMEA в DNS должны быть подписаны DNSSEC.
	Ответить \| Правка \| К родителю #57 \| Наверх \| Cообщить модератору