forum.opennet.ru

"Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..."	+2 +/–
Сообщение от Ivan_83 (ok), 31-Янв-24, 13:08
Нет. Это когда то ходили байки что можно отравить кеш резолвера посылая ему постоянно фейковые ответы, и однажды когда он пошлёт реальный запрос фейковый ответ может придти раньше и пользователи его использующие пойдут на сервер хакера ничего не замечая. Тогда https был только у банков и чудиков с деньгами. В те времена с таким не заморачивались :) Но для обеспокоенных былы варианты: - перевести резолвер на TCP и наслаждатся медленной работы (TCP Fast Open = TFO тогда не было) - "use-caps-for-id" - в общем резолвер слал mAIl.Com рандомизируя капитализацию букв и сверял ответ чтобы там было так же, это добавляло расширяло уникальный ID+src port запроса ещё каким то количеством рандомных бит неизвестных атакующему. Но проблема в том, что многие присылали ответ сделав все буквы большими или маленькими и резолвинг отдельных доменов или даже зон ломался. Как сейчас не знаю, давно не включал :)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSEC, opennews, 31-Янв-24, 11:33 [смотреть все]

А в чем ошибка была, собственно , Аноним, 31-Янв-24, 11:33 (1) //
- Записи в зоне RU другим ключом подписали, не тем, что указан в записи DNSKEY Он, Аноним, 31-Янв-24, 11:44 (9) //
  - А почему давно не запилили, DNS разве не на СПО зиждится , Аноним, 31-Янв-24, 11:58 (28) //
    - Причем тут СПО и зачем что-то пилить Косплеить корневой сервер можно хоть на MS , Ананий, 31-Янв-24, 13:10 (77)
  - Похоже, у них там свой набор верхних корневых днс-серверов Его ключом и подписа, Аноним, 31-Янв-24, 12:15 (36) //
    - Блажен кто верует что западным штуковинам можно было доверятьвикипедия соврать н, Бывалый смузихлёб, 31-Янв-24, 12:28 (42)
      - Думаю, западным спецслужбам до Васяна из опеннета дела нет А вот нашим - есть , Аноним, 31-Янв-24, 12:39 (51)
  - А какой смысл использовать разные ключи , Аноним, 31-Янв-24, 12:15 (37)
  - НСДИ они тоже положили Но поскольку это кого надо НСДИ, там быстренько почистил, нах., 31-Янв-24, 12:44 (52) //
    - Наверное больше потому, что от НСДИ почти никто из потребительского сегмента пок, Аноним, 31-Янв-24, 12:49 (54)
      - Еще как уже зависят Просто тебе об этом не доложат Просто поскольку он сам себе, нах., 31-Янв-24, 12:52 (55)
        
        Докладываю ни один провайдер долго не проработает, если его днс-серверы не буду, San, 31-Янв-24, 13:24 (85)
        
        А чего тут тогда все у всех навернулось Они ж там всепачинили через пять минут , нах., 31-Янв-24, 13:27 (86)
        Есть разные схемы подключения к НСДИ , Ivan_83, 31-Янв-24, 14:38 (122)
    - Быстренько Да он минут 20 косплеил под всех отвечая на всё SRVFAIL А потом там, Аноним, 31-Янв-24, 15:08 (154)
  - может железке по середке не установили новый ключ , Sw00p aka Jerom, 31-Янв-24, 15:08 (153)
- Здесь все намного проще Перед выборами шaтaют не только интернет, но и сотовую , Bonjovi, 31-Янв-24, 12:20 (39) //
  - 4ебурнет на завершающей стадии, Аноним, 31-Янв-24, 21:14 (215)
ЯПОЭЗ https sockpuppet org blog 2015 01 15 against-dnssec , Аноним, 31-Янв-24, 11:34 (2) //
- 1DNSSec для конечных потребителей устарел с тех пор как гугл всех на https натя, Ivan_83, 31-Янв-24, 12:53 (57) //
  - DNSSec - это защита от недобросовестности Гугла, не , Аноним, 31-Янв-24, 12:56 (63) //
    - Нет Это когда то ходили байки что можно отравить кеш резолвера посылая ему посто , Ivan_83, 31-Янв-24, 13:08 (75)
  - да он и раньше-то нахрен был не нужен Очередная диверсия от профессоров далеких, нах., 31-Янв-24, 13:30 (88) //
    - Я не дебажил Перезапустил пару раз unbound ради интереса, надеялся что отвалится, Ivan_83, 31-Янв-24, 13:37 (94)
      - а там на диске нет кэша gtld там вопрос в том чтоб тебе glue records отдал - , нах., 31-Янв-24, 14:48 (136)
        
        На диске вроде никаких кешей нет, только рутовые сервера и может их ключи DNSSec, Ivan_83, 31-Янв-24, 15:21 (159)
        
        Ну да выходит валидатор выключил и не увидел возможной подмены днс, в то время к, fuggy, 31-Янв-24, 19:28 (202)
        
        Покажите мне успешные атаки на отравление кеша, тогда будет иметь смысл продолжа, Ivan_83, 31-Янв-24, 19:57 (208)
        
        Твоя безопасность - это твое дело Никто не должен тебе ничего доказывать , Sem, 01-Фев-24, 18:40 (244)
  - Ну не скажите Допустим у Вас очень большое количество пользователей ведут перепи, suffix, 01-Фев-24, 16:55 (243) //
    - Бывает Не бывает У всех пользователей уже стоит Outlook, в котором шифрование е, Аноним, 01-Фев-24, 20:06 (255)
Свидетельство канарейки Да уж можно и не включать Наверняка ещё пару эксперимен, Карлос Сношайтилис, 31-Янв-24, 11:38 (3) //
- И по http ходить на всякий случай Вдруг он тоже сломается , keydon, 31-Янв-24, 11:58 (27) //
  - Через http Ростелеком незаконно наталкивает в чужие сайты свою рекламу, а пользо, rvs2016, 31-Янв-24, 12:08 (35) //
    - По http вроде бы как можно было заблокировать конкретную страницу, на которой и , Бывалый смузихлёб, 31-Янв-24, 12:24 (41)
      - Да Можно заблокировать только одну страницу И РКН в своём требовании к провайд, rvs2016, 31-Янв-24, 12:30 (43)
        
        Они порой ничего не пишут - страница тупо не открывается, падая по превышению вр, Бывалый смузихлёб, 31-Янв-24, 13:36 (92)
    - Лол, таким еще кто-то занимается Помню пяток лет назад этим сначала стали промыш, Ананий, 31-Янв-24, 13:16 (80)
      - Ага Занимаются да притом ещё как После того, как мы наши сайты на https переклю, rvs2016, 31-Янв-24, 13:39 (96)
        
        Можете точнее написать в каких RSS остаются ссылки на http Я вроде очень давно , Maxim Chirkov, 31-Янв-24, 14:04 (107)
        
        http www opennet ru openforum forum_vsluhforumID4 rsshttps www opennet ru op, rvs2016, 31-Янв-24, 14:20 (112)
        
        Поправил, теперь там только https , Maxim Chirkov, 31-Янв-24, 16:54 (170)
        
        У меня так opennet в закладках оставался как http После переустановки ос сначал, Аноним, 31-Янв-24, 14:22 (114)
        На http сайт сейчас еще постараться надо, чтобы зайти Все хромо-клоны верещат к, Анонимщик, 03-Фев-24, 10:45 (280)
      - Как постоянный пользователь Мегафона подтверждаю, тоже регулярно вставляет рекла, Аноним, 31-Янв-24, 22:27 (222)
  - У меня мой сайт только по http, https есть но там самоподписной сертификат Нет с, Ivan_83, 31-Янв-24, 12:55 (61) //
    - У тебя уже ж есть не легший под американцев аналоговнеимеющей браузер который н, нах., 31-Янв-24, 13:35 (91)
      - Подключён, и иногда на него даже кто то попадает Но в целом там странное и мал, Ivan_83, 31-Янв-24, 13:38 (95)
        
        ну так с тем же успехом мог бы и вообще его выключить, надежно, безопастно, днс , нах., 31-Янв-24, 14:41 (125)
        
        Я тоже чтобы поделится В своё время послал хубр и перетащил всё к себе Но это ве, Ivan_83, 31-Янв-24, 15:11 (156)
    - Ну когда пользователям на http-сайте пишешь про то, что, дескать, тоарищи, помой, rvs2016, 31-Янв-24, 13:45 (97)
      - У меня нет такой проблемы, а проблемы абонентом ростелекома меня не волнуют, впр, Ivan_83, 31-Янв-24, 14:40 (124)
        
        Какие заголовки надо с веб-сервера отправить вместе со страницей в браузер польз, rvs2016, 31-Янв-24, 18:23 (184)
        
        Читайте про Content-Security-Policy заголовок , Ivan_83, 31-Янв-24, 19:05 (191)
        
        Почитал Заголовок-то интересный Но узел, через который от веб-сервера к веб-брау, rvs2016, 31-Янв-24, 19:20 (199)
      - кстати, когда я увидел таки единственный раз правда не ростелек а мегафон на л, нах., 31-Янв-24, 14:43 (128)
Надуюсь подробный публичный отчет будет по инциденту Не очень красиво получилос, Аноним, 31-Янв-24, 11:40 (4) //
- Надуюсь, если не будет, а так надеюсь , Аноним, 31-Янв-24, 11:41 (6)
- Он будет, но вам его не покажут Если вы не с той стороны социума, конечно, 12yoexpert, 31-Янв-24, 11:59 (29) //
  - На днях кажись, в минувшую пятницу Ночь-раннее утро примерно так же отвалили, Бывалый смузихлёб, 31-Янв-24, 12:33 (47) //
    - не падения сети нужно двигать, а , 12yoexpert, 31-Янв-24, 13:04 (71)
  - да, у товарищмайора-то на столе лежит, учения по мягкому принуждению на переключ, нах., 31-Янв-24, 14:44 (131)
- Это должен быть не отчет, а процесс Ибо - повреждение критической инфраструктур, Аноним, 31-Янв-24, 12:33 (46) //
  - Сбой в доменной зоне RU из-за ошибки при замене ключей DNSSE..., Аноним, 01-Фев-24, 05:19 (233)
Ждем пополнения списка https ianix com pub dnssec-outages html, Аноним, 31-Янв-24, 11:41 (5) //
- Фигасебе списочек там В какую интересно номинацию попадет Мне очень зашла Long, Аноним, 31-Янв-24, 11:48 (14)
Вчера половина рунета отвалилась, да Затронуло в основном пользователей DoH, ос, Аноним, 31-Янв-24, 11:42 (7) //
- Максимум увидишь SEC_ERROR_UNKNOWN_ISSUER , Пряник, 31-Янв-24, 11:53 (20) //
  - Страшно-страшно, браузер отказался открывать , Аноним, 31-Янв-24, 11:56 (23)
- Отключил временно DNSSEC на домашнем сервере, всё заработало , Random, 31-Янв-24, 12:23 (40)
- Потому что DoH DoT и публичные 8 8 8 8 и пр аналоги держат те же дятлы которые н, Ivan_83, 31-Янв-24, 12:58 (64) //
  - Ну вот год назад вроде мега отвалилась, сейчас какие-то бесполезные сайты в руне, Аноним, 31-Янв-24, 13:09 (76) //
    - А зачем его включать когда большая часть трафика под TLS , Ivan_83, 31-Янв-24, 13:22 (84)
      - Чтобы не подменяли сайты на подконтрольные Толку от tls, когда сертификаты част, Аноним, 31-Янв-24, 13:36 (93)
        
        Вы поддразумеваете что надо проделать огромную работу по отравлению кеша и выпус, Ivan_83, 31-Янв-24, 13:47 (99)
        
        Ты ещё скажи митм никому не интересен, а последние 10 лет нам всем приснились В, Аноним, 31-Янв-24, 13:51 (104)
        
        Так покажите где на MiTM кто то поднялся, я видел всё от госов, а у них для этог, Ivan_83, 31-Янв-24, 14:46 (135)
        
        пойсон атаки подразумевают некого внешнего злыдня, а если злыдень - это провайде, Ананий, 31-Янв-24, 14:32 (117)
        
        Я зато занимался исплементацией DNS протокола и собственного рекурсера с кешем , Ivan_83, 31-Янв-24, 14:49 (137)
        
        И какие защиты от спуффинга вы в вашем рекурсере применяли Расскажите, раз вы т, Sem, 01-Фев-24, 18:48 (245)
- Как хорошо что есть личный локальный ресолвер Причём тут DoH Зависит от операто, fuggy, 31-Янв-24, 18:53 (188) //
  - Четыре восьмёрки первыми начали подменять трафик в своё время, осадочек остался , Аноним, 31-Янв-24, 19:06 (192) //
    - Да-да, и проблема сто процентов в Гугле, а не в твоём провайдере, который 8 8 8 , Аноним, 31-Янв-24, 19:39 (205)
      - О чём и речь А что смешного тебе Думаешь, в твоей стране такого не случится М, Аноним, 31-Янв-24, 19:50 (206)
        
        В моей стране принято соблюдать законы, регулятор не имеет доступа к инфраструкт, Аноним, 31-Янв-24, 21:23 (216)
        
        Даже если так, времени жить в мире розовых пони у тебя буквально до следующей ло, Аноним, 01-Фев-24, 00:47 (227)
        
        Так то есть маленькие страны, где ты даже если инет отключишь то мобила просто ч, Ivan_83, 01-Фев-24, 06:54 (236)
        Понимаю, что для мордорцев это мир розовых пони Только вот я в этом мире розовы, Аноним, 01-Фев-24, 20:04 (254)
        
        Времена меняются, да То, что законодательства да и сфера айти в целом отдельн, Аноним, 01-Фев-24, 20:31 (258)
        
        Компания существует с 1964 года, оказывает телекоммуникационные услуги с 1995, к, Аноним, 01-Фев-24, 21:28 (259)
        
        Ты всё правильно понял, крупнейший провайдер это карманный провайдер, других вар, Аноним, 01-Фев-24, 21:40 (260)
Кто вообще управляет DNS ами , Аноним, 31-Янв-24, 11:42 (8) //
- РОСНИИРОС КИАЭ, Аноним, 31-Янв-24, 11:44 (10) //
  - Это прям ну ооочень устаревшая информация , Sem, 01-Фев-24, 18:50 (246)
- whois ru, OpenEcho, 31-Янв-24, 11:57 (25)
- ЦМУ ССОП же, что за вопросы, Аноним, 31-Янв-24, 14:36 (119)
Еще один повод перейти на зону Onion , Аноним, 31-Янв-24, 11:47 (11) //
- Там домены слишком сложные, еще вопрос что будет проще запомнить домен onion ил, Аноним, 31-Янв-24, 11:52 (18) //
  - Ты же на сайты, которые посещаешь, не вручную домены набираешь, а по закладкам, , Аноним, 31-Янв-24, 11:55 (22) //
    - 50 на 50, если домен знаю наизусть то могу себе позволить нажать ctrl T и начать, Аноним, 31-Янв-24, 12:01 (30)
      - а я чёт закладками никогда не пользовался, в ff по ним абсолютно неюзабельный по, 12yoexpert, 31-Янв-24, 12:06 (32)
        
        в начале строки и ищет по букмаркам Еще есть неплохая фишка с keywords, можно, Аноним, 31-Янв-24, 13:20 (83)
        
        прикольно, спс я в панельке по ctrl b пытался искать, 12yoexpert, 31-Янв-24, 13:31 (90)
    - Вручную По закладкам ходить долго и неудобно Их, конечно, для удобства могут в, rvs2016, 31-Янв-24, 12:16 (38)
      - Смысл закладок в том, что в поиске в адресной строке они вылезают даже при очище, Аноним, 31-Янв-24, 12:32 (44)
        
        Тут 90 выключают все эти автодополнения в первую очередь 8212 через них гугл, Аноним, 31-Янв-24, 18:22 (183)
        
        Я того же мнения Использую автодополнение только для адресов, которые я раньше р, rvs2016, 31-Янв-24, 22:55 (224)
      - Закладки ещё нужно чтобы вместо легального сайта не переходить на какой-нибудь , fuggy, 31-Янв-24, 19:55 (207)
  - главное даже не запомнить а найти в принципе - и быть хоть как-то уверенным что , нах., 31-Янв-24, 13:04 (70)
  - Там был какой-то преобразователь aw34awfsdfa3rsdfasdf23r3q4rwedzfdsr3rqwefd onio, Аноним, 31-Янв-24, 16:47 (169)
- gemini ещё есть Ещё в i2p неплохая идея, но нет клиентов один на джаве, второй, 12yoexpert, 31-Янв-24, 11:57 (26) //
  - Gemini не работают без доменных имён, а следовательно и какого-нибудь DNS, что о, Аноним, 31-Янв-24, 12:08 (34) //
    - gns от gnu, 12yoexpert, 31-Янв-24, 13:02 (68)
- На btn, mob и ygg , Аноним, 31-Янв-24, 16:32 (167)
А зачем вообще менять ключ на аналогичный но параметрам, а не, например, постква, Аноним, 31-Янв-24, 11:47 (12) //
- Время жизни ключа ограничена, поэтому регулярно выполняют ротацию ключей , Аноним, 31-Янв-24, 11:50 (16) //
  - Он спросил зачем, а не почему Ключи меняются на случай утечки, так менее реальн, Аноним, 31-Янв-24, 11:54 (21) //
    - Раз в три месяца планово заменяются ключи, типа защита на случай если ключ скомп, Аноним, 31-Янв-24, 12:05 (31)
      - мысль о том что система автозамены ключей и есть наиболее вероятная точка компро, нах., 31-Янв-24, 12:58 (65)
        
        Случаи подмены ключей палятся очень быстро через сверку ключей полученных их раз, Аноним, 31-Янв-24, 14:44 (130)
        
        так они будут - одинаковые Никакой другой подмены в принципе быть не может Уров, нах., 31-Янв-24, 14:45 (133)
        
        Не будут Допустим утёк ключ зоны и новый владелец рассылает информацию, что, Аноним, 31-Янв-24, 14:50 (139)
        
        и Ключ у тебя - уже утек Все ключи правильно подписаны и переподписаны ничем ем, нах., 31-Янв-24, 14:56 (143)
        
        Только вот помимо липового ключа нужно иметь доступ к каждому корневому серверу , Аноним, 31-Янв-24, 15:02 (147)
        
        Если ключи одинаковые, то где подмена Я вам ключ подменил на тот же самый , Sem, 01-Фев-24, 18:55 (247)
        
        DNSSec ни от чего, тем более массового не защищает, не нужно сочинять , Ivan_83, 31-Янв-24, 15:13 (157)
        
        DNSSEC защищает от подделки DNS-записей Конечно от полноценного MITM он не спас, Аноним, 31-Янв-24, 17:59 (176)
        
        Вы для начала в реальной жизни попробуйте отравить кеш резолвера, потом будете р, Ivan_83, 31-Янв-24, 19:08 (194)
      - https www iana org dnssec ceremonies, Sw00p aka Jerom, 01-Фев-24, 03:22 (231)
Небось ключи в зип архиве случайные люди шлют по электронке, а потом какой-нибуд, Аноним, 31-Янв-24, 12:33 (48) //
- я тебя расстрою, наверное, но процедуры отката в dns - нет Вообще И любая ошиб, нах., 31-Янв-24, 12:47 (53) //
  - На подконтрольной инфраструктуре откат должен происходить мгновенно Некорректна, Аноним, 31-Янв-24, 17:09 (172) //
    - А оно дойдёт по электронке-то Она давно завязана на DNS Или у вас uucp , 1, 31-Янв-24, 17:48 (173)
      - дойдет, у нормальных-то домены в net, только вот - noc какого-нибудь tele2 ни, нах., 31-Янв-24, 18:40 (186)
    - У меня для тебя, васенька, еще более печальная новость - DNS не подконтрольная т, нах., 31-Янв-24, 18:37 (185)
      - Да-да, примерно как веб, который на 80 обслуживается HTTP и DNS посредством еди, Аноним, 01-Фев-24, 01:00 (228)
        
        Пока на коммерческом уровне все начальники позвонили своим яйцеголовым и сказали, n00by, 01-Фев-24, 09:07 (238)
  - Ну тебе на твоей впс и правда не нужна никакая атоматизация, быстрее руками DNSS, Аноним, 31-Янв-24, 18:20 (182)
- Хорошо Вы о них думаете В rar архиве , nox., 31-Янв-24, 14:36 (120)
Вопрос не совсем в тему В связи с блоком wg openvpn кто-нибудь проверял, по ipv, чатжпт, 31-Янв-24, 12:52 (56)
Но виновных как всегда нет и наказывать никого не будут , Этофиаско, 31-Янв-24, 12:55 (60) //
- Да, было бы неплохо возродить публичные порки на Красной Площади, Секретный, 31-Янв-24, 13:49 (101) //
  - А почему вы решили, что за это не накажут вас , Аноним, 31-Янв-24, 15:41 (162)
Может ли это быть связано с массовыми просьбами заблокировать Ютуб Неужели чебу, Аноним, 31-Янв-24, 12:55 (62) //
- А заблочили рутуб Даже для больных это перебор , Ivan_83, 31-Янв-24, 13:00 (67)
- Логику по тиктоку не преподают, но можно прояснить - как связанны проблемы с зон, Ананий, 31-Янв-24, 14:16 (110) //
  - Такой воображаемый, что половина сайтов без VPN уже давно не открывается Да и, Макдональдс, 31-Янв-24, 14:20 (111)
- Тут, скорее, тестировалось отключение зоны ру от макдакнета , Тот_Самый_Анонимус_, 31-Янв-24, 19:14 (197)
Вообще не заметил никаких сбоев Узнал о них лишь из новостей , Neon, 31-Янв-24, 13:05 (72) //
- Вам повезло, ваш DNS сервер выполняющий рекурсию был с отключённым DNSsec , Ivan_83, 31-Янв-24, 13:11 (79) //
  - У меня все такие , 1, 31-Янв-24, 17:52 (175)
- Аналогично , nox., 31-Янв-24, 14:37 (121)
- Я вечером тоже сидел с выключеным инетом Вообще не заметил работает ли он, Аноним, 31-Янв-24, 22:26 (221)
- На самом деле сбои были, но куда менее сильные чем писал народ Ну да, кое что у, Kuromi, 02-Фев-24, 03:35 (270)
Не знал, что в москве есть технический центр всего интернетаcontact techni, Всем Анонимам Аноним, 31-Янв-24, 13:20 (81) //
- Если бы всего интернета он бы назывался Technical Center of the Internet само со, fuggy, 31-Янв-24, 20:11 (210)
А я вчера ловил лулзы с беспомощных ИТ специалистов как на хубре так и у провайд, Ivan_83, 31-Янв-24, 13:20 (82) //
- Ну ты нашёл где помощи искать - на околотехническом хабре Там только поливать г, _oleg_, 31-Янв-24, 13:30 (89) //
  - Мне помощь не нужна, у меня на unbound домашнем DNSSec всегда выключен и проблем, Ivan_83, 31-Янв-24, 13:49 (102) //
    - Зачем вам вообще интернет Идите в пещеру , Sem, 01-Фев-24, 18:58 (248)
  - И вполне логично, что они не сильно разобрались Ха, ты так пишешь, как-будто куч, Аноним, 31-Янв-24, 13:56 (105) //
    - При чём тут именно dns Там разве не всё обсирают, что не сделано иммигрантами н, _oleg_, 31-Янв-24, 14:04 (108)
      - А что, не за дело обсирают Последнее, что было сделано так, что не стыдно показа, Аноним, 01-Фев-24, 12:15 (239)
        
        На хабре В основном нет, конечно Там от некоторых сообщений за километр несёт , _oleg_, 01-Фев-24, 12:22 (240)
  - Хабр это где две статьи из десяти про IT а остальные восемь про релокейшен в Гру, arthi747, 31-Янв-24, 18:19 (181)
  - поцреоцкие поделки я и зесь поливать могу, как собственно и хабр, рекламирующий , penetrator, 31-Янв-24, 21:06 (214)
- Достаточно было в логи залезть, чтобы понять, что косяк в DNSSEC И да, я юзаю D, timur.davletshin, 31-Янв-24, 13:47 (100) //
  - Даже не нужно в логи лезть Пару dig, что бы понять, что это глобально сломалось, Sem, 01-Фев-24, 19:00 (249)
- Не смешно Там вообще хоть одна буква ценной информации бывает , nox., 31-Янв-24, 14:38 (123)
- В официальной инструкции есть способ отключения dnssec как удаление пути до файл, fuggy, 31-Янв-24, 20:15 (211)
Мы у себя проблему в 19 17 увидели, а в 19 40 уже вырубили нахер dnssec , _oleg_, 31-Янв-24, 13:28 (87) //
- Аха, вот такие, когда видят ошибку сертификата, тоже клацают Игнорировать , timur.davletshin, 31-Янв-24, 13:46 (98) //
  - Я клацаю игнорить, потому что на 99 сайтах которые я посещаю TLS не нужен, я та, Ivan_83, 31-Янв-24, 13:51 (103) //
    - А потом, в тот момент, когда не нужно что-то делать, ты задним числом понимаешь,, timur.davletshin, 31-Янв-24, 14:43 (127)
      - Не нужно проецировать свои проблемы на других Я смотрю на сертификат только для , Ivan_83, 31-Янв-24, 14:54 (142)
        
        Видал я таких умных, которые отправляли на автомате несколько миллионов в утиль,, timur.davletshin, 31-Янв-24, 19:22 (200)
        
        Ему DNSSEC не нужен, TLS не нужен Зачем он вообще сюда зашел, не ясно , Sem, 01-Фев-24, 19:02 (250)
      - Не знаю чем надо заниматься, чтобы часто видеть эти ошибки Мне может раз в меся, Самый умный из вас, 31-Янв-24, 14:59 (145)
  - Какие такие, чудо Какой большой смысл от dnssec у провайдера имеется ввиду, не, _oleg_, 31-Янв-24, 14:02 (106) //
    - Увы, таких помойных провайдеров полно А DoH как раз и существует в том числе из, Аноним, 31-Янв-24, 14:13 (109)
      - А doh тебе зачем, болезный , _oleg_, 31-Янв-24, 14:21 (113)
        
        Для исключения человеческого фактора у провайдера, говорю же По факту лишняя ра, Аноним, 31-Янв-24, 14:27 (115)
        
        Блин, как тяжело с такими Ты на вопрос не ответил Перечитай, не в падлу , _oleg_, 31-Янв-24, 14:34 (118)
        
        А что тебе перечитать, если ты не осознаёшь, что защищать от провайдера до клиен, Аноним, 31-Янв-24, 14:42 (126)
        
        Ты с больной на здоровую голову не перекладывай Что ты собрался защищать и поче, _oleg_, 31-Янв-24, 14:52 (140)
        
        Ты не понял, DoT DoH так же держат DNSSec включённым и точно так же вчера всех с, Ivan_83, 31-Янв-24, 15:03 (149)
        
        Квадовский 9 9 9 10 без dnssec, Аноним, 01-Фев-24, 03:52 (232)
        
        Unsecured No Malware blocking, no DNSSEC validation for experts only , Sw00p aka Jerom, 02-Фев-24, 03:49 (271)
        Note We do not recommend mixing the secure and unsecured IP addresses in the sa, Sw00p aka Jerom, 02-Фев-24, 03:51 (272)
        
        То есть ты просто доверяешь человеческому фактору другого провайдера , fuggy, 31-Янв-24, 20:33 (212)
        
        Я доверяю тому, что dnssec не будет отключен Особенно, когда в конфиге доверие , Аноним, 31-Янв-24, 20:42 (213)
        
        Ну и сидите без доступа к сайтам при каждом чихе , Ivan_83, 31-Янв-24, 21:27 (217)
        
        Во-первых, не при каждом Большинство операторов всё же умеет пользоваться DNSSE, Аноним, 01-Фев-24, 20:16 (256)
      - DoH не исключает необходимости проверять DNSSEC Вообще никак , timur.davletshin, 31-Янв-24, 14:44 (129)
        
        DoH действует в обход провайдера с некомпетентными сотрудниками Естественно, не, Аноним, 31-Янв-24, 14:49 (138)
        Вообще то исключает, за тебя это делает владелец DoT DoH сервиса , Ivan_83, 31-Янв-24, 15:04 (151)
        
        Не придумывай Нигде об этом в протоколе не говорится Раз уж DoT упомянул, то т, timur.davletshin, 31-Янв-24, 16:30 (166)
      - Нет DoH DoT это желание гугла анб залезть в штаны хомякам против их воли, под пр, Ivan_83, 31-Янв-24, 15:01 (146)
        
        DoH вполне может быть и подконтрольным К примеру, тот же dnscrypt гарантирует, , Аноним, 31-Янв-24, 15:35 (161)
        
        Чушь dnscrypt как и DoT DoH гарантируют ровно тоже что и TLS в ваш днс трафик н, Ivan_83, 31-Янв-24, 16:06 (163)
        
        Всё же, это уже не те случаи, которые стоит рассматривать Но на уровне днс впол, Аноним, 31-Янв-24, 18:01 (177)
        
        Я вам по секрету скажу - рекурсер с кешем можно дома даже держать У меня оно д, Ivan_83, 31-Янв-24, 19:13 (196)
    - С терминологией разберись сперва Вот такие, которые даже терминологии не освоили, timur.davletshin, 31-Янв-24, 14:46 (134)
      - А что тебя смущает Какие такие , _oleg_, 31-Янв-24, 14:53 (141)
    - Клиентам DNSSec не нужен, да и провайдерский сервер его может разве что ретрансл, Ivan_83, 31-Янв-24, 14:57 (144)
      - Так и делают Давно уже не помню, что бы магистралы dns давали, но и когда давал, _oleg_, 31-Янв-24, 15:04 (150)
        
        На наге одмины провайдеров тоже не могут объяснить зачем им DNSSec нужен, в книж, Ivan_83, 31-Янв-24, 15:06 (152)
        
        Давно там не был - Но на наге так-то школьников разы меньше, чем здесь Так ч, _oleg_, 31-Янв-24, 15:11 (155)
        Перечислишь админов и провайдеров по именам или ты это 171 чисто по ощущениям , Аноним, 31-Янв-24, 18:08 (180)
        
        Сам у них спрашивайте https forum nag ru index php topic 129992-xyz-upal pag, Ivan_83, 31-Янв-24, 19:14 (198)
А кто же это сделал , Аноним, 31-Янв-24, 14:44 (132) //
- ессественно новенький админ, которого не курсанули, что при смене ключей необход, Sw00p aka Jerom, 31-Янв-24, 16:35 (168) //
  - Если бы новенький админ, то не выпускали бы отчет со смыслом это не мы такие, э, Sem, 01-Фев-24, 19:04 (251) //
    - https cctld ru media news kc 35566 , Sem, 01-Фев-24, 19:06 (252)
      - Возникшая коллизия ключей, в причинах которой в настоящее время продолжают ра, Sw00p aka Jerom, 01-Фев-24, 22:13 (261)
        
        Коллизия - это, например, когда хеши от разных данных совпали Тут требуется ква, n00by, 02-Фев-24, 07:56 (273)
        
        - Почему у тебя нос сломан - Потому-что он столкнулся коллизия с чужим кулаком, Sw00p aka Jerom, 02-Фев-24, 09:23 (274)
        Допускаем, сгенерировали 1024 битный ZSK ключ rsa, его хеш sha256 ибо algo_id 8, Sw00p aka Jerom, 02-Фев-24, 09:48 (275)
        
        Тут задача из разряда кто даст правильный ответ - тот получит 10 лет , n00by, 02-Фев-24, 13:00 (277)
        
        ага, кто купит билетов пачку XDОбратим внимание на данное утверждение ч, Sw00p aka Jerom, 02-Фев-24, 16:00 (278)
        
        для истории Из письма ТЦИ следует, что сбой длился 30 января с 18 28 до 21 00 , Sw00p aka Jerom, 08-Фев-24, 14:43 (281)
- и прикол в том, что они на протяжении нескольких часов не вкуривали почему сигна, Sw00p aka Jerom, 31-Янв-24, 16:59 (171) //
  - я подозреваю в их офисе резко отвалился интернет, 4ge тоже пошло по п-де кто не, нах., 31-Янв-24, 19:08 (193) //
    - лол, кек у меня opennet ru не открывался, вот и заметил а байки про то, что н, Sw00p aka Jerom, 31-Янв-24, 22:25 (220)
Или их хакнули или они в очередной раз попробовали пропихнуть свои интернет по п, Аноним, 31-Янв-24, 15:24 (160)
Еще Воланд говорил Канту за завтраком про DNSSEC 171 Вы, профессор, воля ваша, Аноним, 31-Янв-24, 16:12 (164)
В очередной раз убедились, что DNSSEC отлично работает И в том, что людей поним, Аноним, 31-Янв-24, 18:06 (178) //
- Зачем нужен ремень безопасности когда ты находишься в жидкой среде близкой по пл, Ivan_83, 31-Янв-24, 19:24 (201) //
  - 171 Фонаты 187 действительно много чего не могут Попробуй спросить знающих , Аноним, 31-Янв-24, 19:32 (204) //
    - Те не вас Покажите примеры успешных атак, потому что я читал только про лаборат, Ivan_83, 31-Янв-24, 20:04 (209)
      - Как скажешь Я тебе покажу, а ты скажешь, что я 171 фонат 187 и придумаешь, п, Аноним, 31-Янв-24, 21:29 (218)
      - кек, а че это много разве одновременно досишь неймсервер, который должен присла, Sw00p aka Jerom, 01-Фев-24, 00:15 (226)
        
        Нет, не много, но 2 16 надо слать на все порты, обычно это 1024-65535 Те примерн, Ivan_83, 01-Фев-24, 06:51 (234)
        
        Это ты отлично придумал Теперь можно не только замедлить разрешение имён в атак, Аноним, 01-Фев-24, 20:30 (257)
        
        Примеры таких компаний , Аноним, 03-Фев-24, 05:36 (279)
  - Когда амеры это сделают, по ТВ просто скажут что надо везде прописать суверенн, Kuromi, 01-Фев-24, 15:40 (242)
  - TLS у вас от вашего браузера до 8 8 8 8 А DNSSEC от 8 8 8 8 до остальных не, Sw00p aka Jerom, 01-Фев-24, 22:46 (263)
А ведь 47 минут назад подпись всё-таки успешно поменяли https dnsviz net d , DragonX256, 31-Янв-24, 18:06 (179)
На уровне слуховых слухов вся ситуация с заменой ключей DNSSEC отлично ложится н, Kuromi, 01-Фев-24, 15:36 (241) //
- есть такая гипотеза, а как иначе всех со всяких восьмерок и единичек перевес, Sw00p aka Jerom, 01-Фев-24, 22:30 (262) //
  - Ну сорянчик, боли роста , бывает , Kuromi, 02-Фев-24, 02:25 (269)
роскомпозор пилит суверенный днс с подменой ключей, больше всех попали мобильные, Аноним, 02-Фев-24, 11:33 (276)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру