LINUX.ORG.RU

Ты неверно поняла сообщение.

«in the uz zone»

Ты не админ us zone и не можешь туда ничего прописать своим биндом. Это надо идти к регистратору и у него в интерфейсе прописывать ключи.

AVL2 ★★★★★
()
Ответ на: комментарий от BOOBLIK

А, ну совем хорошо. Регистратор тоже не парился, так что никак.

AVL2 ★★★★★
()
Ответ на: комментарий от BOOBLIK

Посыпаю голову пеплом, по моей же ссылке на статус страничке сказано, что уже можно в зоне UZ использовать DNSSEC. Тогда тебе прямой дорогой к регистратору и прописывать там свои публичные ключи.

BOOBLIK ★★★★
()
Ответ на: комментарий от Brillenschlange

[offtopic]На две секунды позже не могли что ли комментарий отправить? :)[/offtopic]

anc ★★★★★
()
Ответ на: комментарий от AVL2

Регистратор про это ни сном ни духом. Пришлось звонить и долго переписываться чтобы убедить регистратора, что это на его стороне можно прописать, так как с нашей уже все прописано. В итоге им кто-то объяснил или помог (уж не знаю), но в конце концов все заработало. Всем спасибо!

Aleksandra
() автор топика
Последнее исправление: Aleksandra (всего исправлений: 1)
Ответ на: комментарий от Aleksandra

Правда кроме как для подписи sshfp и tlsa записей нигде больше вообщем-то dnssec не нужен, а так как сами записи sshfp и tlsa используют 0,001% пользователей, то и dnssec не взетел и не взлетит уже наверное никогда :(

suffix ★★
()
Ответ на: комментарий от suffix

sshfp сам по себе не нужен. Это ненужный костыль.

Есть сертификаты ssh и они прекрасно работают.

dnssec сейчас уже вполне используется всеми через 8.8.8.8 и 1.0.0.1

AVL2 ★★★★★
()
Ответ на: комментарий от Aleksandra

В итоге им кто-то объяснил или помог (уж не знаю), но в конце концов все заработало. Всем спасибо!

надо сказать, что вы вышли на скользкую дорожку.

dnssec требует постоянного наблюдения так что привыкай теперь ходить при первых же жалобах на https://dnssec-analyzer.verisignlabs.com и проверять все тонкости его работы.

В целом днс теперь у вас будет работать заметно нестабильней.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Ну что за ересь про сертификаты ? sshfp же совсем о другом: решает проблему с подменой целевого хоста во время самого первого подключения к серверу, а не использование на стороне клиента метода аутентификации через пароль или ключ или сертификат.

Ну и вообще - уж не надо нам этого (сертификаты) счастья. (Нет, для больших структур с тысячами серверов наверное это и хорошо и полезно - но для обычных людей это сверхизлишество).

suffix ★★
()
Последнее исправление: suffix (всего исправлений: 3)
Ответ на: комментарий от AVL2

В целом днс теперь у вас будет работать заметно нестабильней.

Голоса в голове нашептали ?

Уже много-много лет домен у меня подписан и ни одной проблемы никогда не возникало. Там не чему ломаться (если не заниматься ерундой и не налаживать самопальную реализацию по автоматизации перевыпуска ключей на криво установленном бинде).

Соглашусь лишь что в целом dnssec не нужен ибо не взлетел. Вот если бы он взлетел, был бы у всех и всюду и dane tlsa валидацию из браузеров не выпилили бы, то тогда можно было бы всем послать все СА и зажить в мире розовых пони.

suffix ★★
()
Ответ на: комментарий от suffix

sshfp же совсем о другом: решает проблему с MitM во время первого подключения к серверу,

Не буду ругаться. Разберись. Сертификаты генерятся и лежат в том числе на сервере и как раз обеспечивают защиту от MitM

Ну и вообще - уж не надо нам этого (сертификаты) счастья.

Дело хозяйское, не настаиваю. Я разобрался и удивился, насколько все это прекрасно работает и решает все проблемы хоть с одним сервером, хоть с десятком, хоть с сотнями. Сейчас только сертификаты.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Я уже исправил в своём посте - правильнее сказать что не от MitM а от подмены целевого хоста при самом первом соединении.

suffix ★★
()
Последнее исправление: suffix (всего исправлений: 1)
Ответ на: комментарий от suffix

Голоса в голове нашептали ?

статистика. В отличие от голого днс, который может работать вечно, dnssec гарантированно умирает через некоторое время без обслуживания.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Ещё раз - «ДЛЯ САМОГО ПЕРВОГО СОЕДИНЕНИЯ» !

Не могут сертификаты ничего решать что для вэба что для ssh (для этого нужен либо лист с записями в браузере (HSTS preload list) в случае web либо запись (sshfp) в dns под dnssec для ssh).

suffix ★★
()
Ответ на: комментарий от AVL2

статистика

Так можно держать у крупного / надёжного dns-хостера поддерживающего dnssec а не с биндом мурыжиться - и ничего тогда не умирает. Но повторюсь что не нужно это в целом :)

suffix ★★
()
Ответ на: комментарий от AVL2

Так чтобы в known-host появился fingerprint соединение ssh уже должно состояться. А sshfp проверяется до этого: found 6 secure fingerprints in DNS.

suffix ★★
()
Ответ на: комментарий от suffix

Так чтобы в known-host появился fingerprint соединение ssh уже должно состояться.

в known host одна запись с публичным ключом удостоверяющего центра. Ключ можно разместить на сайте и отдавать через https, например. Он один на все сертификаты, которые подписаны эти центром.

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Ключ можно разместить на сайте и отдавать через https, например

И это надёжнее чем sshfp под dnssec ? :)))))

Так и знал что костыль нужен как я и писал выше.

suffix ★★
()
Ответ на: комментарий от suffix

это надёжнее чем sshfp под dnssec ? :)))))

конечно, ведь в днс нужно вносить и обновлять записи на каждое доменное имя (а на ip-адрес и вовсе нельзя). А тут одна запись на все сертификаты, которые выпущены удостоверяющим центром.

Одна запись. На все хосты и прошлые и будущие, под всеми именами. Если взломают днс, то вот тебе и атака. А тут как сайт ни ломай, если ключ уже на машине, то ничего не выйдет.

Чего тут непонятного?

AVL2 ★★★★★
()
Ответ на: комментарий от AVL2

Возможно (ВОЗМОЖНО) в случае сотен хостов это и имеет смысл в плане удобства и при нормальной реализации не сильно менее безопасно чем sshfp под dnssec.

Но если для себя любимого и парочка-тройка хостов в работе то мы уж как-нибудь по старинке !

suffix ★★
()
Ответ на: комментарий от suffix

Но если для себя любимого и парочка-тройка хостов в работе то мы уж как-нибудь по старинке !

ну так парочка троечка хостов, тем более. Ключ на флешке, никакой завязки на сторонние сервисы, днс или еще чего-то. Работает в любом виде, хоть зона .local, хоть по адресу, хоть как.

AVL2 ★★★★★
()
Ответ на: комментарий от suffix

Я вообще охреневаю от логики. купить доменное имя, поднять и настроить зону, включить и настроить днссек, собрать ключи с хостов и прописать их в днс заради трех запросов это норм, легко и надежно.

А выписать вместо всего этого один ключик и рулить и хостами и пользователями в свое удовольствие - ужасно, сложно и несекурно.

AVL2 ★★★★★
()
7 июня 2022 г.
Ответ на: комментарий от Aleksandra

Держать свой dns-сервер на одной машине не имеет никакого отношения ни к надёжности ни к отказоустойчивости.

Держу Primary - cloudns.net и Secondary - dnsmadeeasy.com. Это большие надёжные dns хостинги с кучей anycast-серверов по всему миру.

suffix ★★
()
Последнее исправление: suffix (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.