All Ok!

Да тут и хуже есть:

nalog.ru: Fatal error detected!
This domain is going to STOP WORKING after the 2019 DNS flag day!

labft.org: All Ok!

Да начнётся шоу!

https://ednscomp.isc.org/ednscomp?zone=reg.ru И до кучи домены хостящиеся на их NSах

Вангую что РКН назовёт это кибератакой на рунет и включет чебурнет

А не, это «minor problems detected: This domain is going to work after the 2019 DNS flag day BUT it does not support the latest DNS standards»

Вангую что РКН назовёт это кибератакой на рунет и включет чебурнет

Почему бы и нет.

mle.party: All Ok!

sunbutt.faith: All Ok!

moonbutt.science: All Ok!

Они, впрочем, сейчас все на одной VPS, кек.

Они, впрочем, сейчас все на одной VPS, кек.

Так тут вопрос про актуальность ПО на DNS сервере, который обслуживает тот или иной домен.

Мне конец света вангует.

А. Значит, Hurricane Electric хорошие.

Таки за шо они там у себя вещают? Где подробности?
Как по мне все выглядит так, что что-то сломают первого февраля, но что - не говорят. Или я туплю?

https://habr.com/ru/company/cisco/blog/436662/

Может сломаться DNS если он слишком старый (не включена поддержка новых фич). Сломается днс — сломается резолвинг домена, будет доступен только по IP.

Если у тебя нет своих DNS и ты используешь для своих записей сервера хостера — то пинать его.

Если ты используешь DNS только как клиент — можешь поржать над слоупоками и спать спокойно, тебя это не касается практически.

Ну почему б товарищам по ссылке не написать, какие фичи нужны-то?
Спасибо гринману, направил туда, где всё разжёвано.

где всё разжёвано.

Вплоть до:

На сайте dnsflagday.net вы можете получить все необходимые инструкции и ссылки для того, что актуализировать свое ПО. Там же есть ссылки и на различные утилиты для администраторов, которые позволяют сканировать свою DNS-инфраструктуру в поисках слабых мест.

Спасибо за наводку. Это как-то прошло мимо меня. Проверил свои сервера, все в порядке.

Fatal error detected!

Что за отстой, мне теперь везде с tinydns валить?

Народ

А это воспринимать как прикол, или начать беспокоиться?

http://saahriktu.org/saahriktuorgready.png

В смысле прикол? Это вполне реальная проблема, на хабре всё разжевали.

Тогда мне надо начинать бояться. Мне там ад обещают. А у меня еще почта для домена.

Думаю, что все нормально будет. Потому что пока что провайдеры сами решают какой DNS-софт ставят и как его настроить и им не нужны ничьи разрешения и указания. Найдутся конечно слоупоки у которых будут проблемы, но их решат.

А вот когда заработает свеженький закон про защиту интернета от выключения, в котором провайдеры уже обязаны использовать только тот софт для DNS, что РКН разрешил и настраивать его по их указаниям, тогда думаю проблемы и начнутся. И не только c DNS. С маршрутизацией тоже.

Перешел на tinydnssec, все равно не помогло, ибо TCP. Жопа.

провайдер может использовать что ему заблагорассудится, что не мешает поставить свой софт и спокойно юзать нормальные стандарты.

Второй день Рунет бурлит от слухов по отключению DNS 01 февраля 2019 года. Началось всё с поста сотрудника Cisco Алексея Лукацкого с формой изложения «мы все умрем»: https://habr.com/ru/company/cisco/blog/436662/ Должен заметить, что все сильно сложнее и не так разрушительно. Интернет создавался в качестве устойчивой сети. И чтобы его «завалить» нужны какие-то специальные действия. Например, законопроект «об автономной сети». И то не хватит.

👉🏻 Что произойдёт? В основные DNS-сервера, в программное обеспечение, будут внесены изменения, запрещающие использовать устаревшую версию протокола DNS. Т.е. все ещё обновиться должны, чтобы это сработало. С другой стороны, поддержка только старой версии DNS в 2019 году — это или ошибка конфигурации, или ошибка реализации каких-то специальных фильтров.

👉🏻 А что с российскими госсайтами? Сложно. Например, функционирование части сайтов из gov.ru обеспечивается Спецсвязью. Естественно там субподряд на субподряде и субподрядом погоняет. DNS для многих gov.ru отдан RU-CENTER и неким E-Soft (m-10.ru). Кто из них первичен — неизвестно. Сервера E-Soft или древние, или кривые, или у них «особые требования к качеству обслуживания, что обычно означает — всё криво и через одно место, с очень крутыми бесполезными фильтрами. И вот у E-Soft сервера через пень-колоду работают. То TCP нет, то UDP (!), то вообще не отвечает, то EDNS не поддерживает (не ясно как это они сделали в 2019 году). С другой стороны, давайте посмотрим на сайт rkn.gov.ru — он и так не работает у 20% сетей в стране (защита от атак у них такая). То, что не будут работать пара DNS-серверов из 5-6 — никто не заметит.

💥 Но на самом деле — это новость о наплевательском отношении к работе и гипер неэффективности работы всей государственной машины РФ. Во всяком случае в области интернета, или, как это сейчас модно именовать — Цифровой Экономики.

https://t.me/usher2/742

Это понятно все, но от того, что рукозадницы с их квалификацией будут еще и маршрутизацией всея рунета рулить уже заранее содрогаюсь.

Фигня это все.
В RHEL7 до сих пор BIND 9.9, и они даже не чешутся, чтобы бэкпортировать отдельные флаги или обновить версию.

Хотя тестер выдает:
This domain will face issues after the 2019 DNS flag day. It will work in practice, BUT clients will experience delays when accessing this domain. We recommend you request a fix from your domain administrator!

Хе-хе, есть вероятность, что из-за таких штук 1 февраля закроются магазины, так как кассы не будут работать.

кстати, вот тут ты прав. очень даже может быть. админам продовольственных и товарных сетей неплохо бы прописать в локалхостах нужные адреса :)

nalog.ru: Fatal error detected!

Их DNS просто дропает некорректные запросы, а на стандартные отвечает как положено. Причем даже не сам сервер, скорее всего, а IPS.

На мой NS не ругается.

Вангую что РКН назовёт это кибератакой на рунет и включет чебурнет

я бы тоже так сделал.
какая-то грязь из под ногтей мне тут будет рассказывать как настраивать днс, и считать мой трафик нелегетимным. да нахер пройдите пожалуйста пиндоские вредители.

nserver: dns1.yandex.net.
nserver: dns2.yandex.net.
Minor problems detected!

вообще-то они его создали

Наверняка они такие же создатели DNS, как те разработчики иксов, которые wayland начали.

Странновато, что про это в прошлом году почти никто не писал. Пора форкать DNS.

У меня для зоны настроен bind-9.9.4-72.el7.x86_64 на CentOS Linux release 7.6.1810 (Core). И что-то мне на dnsflagday.net «All ok» для зоны показывает. Что я сделал не так?

Смотреть ченджлоги надо. В 9.9.4 EDNS может быть уже завезён.

Судя по ответу https://ednscomp.isc.org/ednscomp завезён (dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok). Но, вот тут товарищ А твой сервер превратится в тыкву 1 февраля? (комментарий) как-то заобобщался.

Он перепутал «завезут поддержку edns» и «завезут обязательную проверку edns в резолвер».

«они» - это кто? по фамилиям перечисли.

xxx.xxx. @176.99.13.13 (ns1.reg.ru.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,nsid (ns7.reg.ru)

xxx.xxx. @176.99.13.14 (ns2.reg.ru.): dns=ok edns=ok edns1=noerror,badversion,soa edns@512=ok ednsopt=ok edns1opt=noerror,badversion,soa do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok,nsid (ns7.reg.ru)

WTM ?

Что втф? Это разные физические серверы, разное ПО и разные настройки.

Мы все умрём

Пожалуйста, проверьте, не затронут ли ваш домен:

Утром для 4 из 6 используемых мной сторонних DNS серверов показывало ворнинги, сейчас же 6/6 All Ok.

    BIND 9.13.3 (development) and 9.14.0 (production)
    ...
    Unbound 1.9.0

Благодарю, а я и не понял :)

Подумал, что unbound 1.9.0 и bind 9.14 где-то уже зарелизись скрытно, хотя на официальных сайтах версии как минимум на единичку ниже.

Может авторы этого шума прислали привет из будущего?

Это интересно. У меня тоже bind-9.9.4-72.el7.x86_64 на RHEL 7.6.

Сейчас тест показывает:

dns=ok edns=ok edns1=ok edns@512=timeout ednsopt=timeout edns1opt=timeout do=timeout ednsflags=timeout docookie=timeout edns512tcp=ok optlist=timeout

Вторая попытка - результат немного отличается:

dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=timeout do=timeout ednsflags=timeout docookie=timeout edns512tcp=ok optlist=timeout

А 40 минут назад было вообще следующее:

dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=timeout docookie=ok edns512tcp=ok optlist=timeout

Хрень какая-то.

На https://ednscomp.isc.org/ednscomp какой NS сервер указываешь? Попробуй там задать конкретный ip адрес. Хотя, я ХЗ как там чего. У меня например провайдер dns перехватывает, и я пользуюсь kresd на локалхосте, поскольку dig из дома корректно непосредственно на сервер зоны не ходит.

Этот тест можно скачать локально:

git clone git@gitlab.isc.org:isc-projects/DNS-Compliance-Testing.git