LINUX.ORG.RU

С 01.02.2019 серверы имён, не поддерживающие EDNS, станут недоступны

 

С 01.02.2019 серверы имён, не поддерживающие EDNS, станут недоступны

8

7

С первого февраля 2019 года ответы от серверов имён не поддерживающих RFC 6891 будут считаться нелегитимными. Как написано на сайте DNS flag day, публичные резолверы уберут «костыли» необходимые для взаимодействия со «сломанными» серверами.

Такое решение принято в связи с тем, что необходимость поддержки обратной совместимости со старыми серверами мешает внедрению механизмов расширения для DNS. С февраля крупнейшие публичные DNS резолверы не будут принимать трафик от устаревших DNS.

Ближе к дате будут выпущены версии резолверов, в которых так же ужесточены требования к протоколу, это:

  • BIND 9.13.3 и 9.14.0
  • PowerDNS Recursor 4.2.0
  • Unbound 1.9.0

По мере обновления резолверов, ваш сайт может стать недоступным. Проверить, соответствует ли ваш сайт новым требованиям можно на сайте, посвящённому событию.

PS «linux.org.ru All Ok!»

>>> Подробности

★★★★★

Проверено: jollheef ()
Последнее исправление: unfo (всего исправлений: 4)
Ответ на: комментарий от crypt

Зачем? Родной центосовский пакет корректно отвечает, что не умеет edns. Пока что такое поведение вполне соответствует желаемому.

imul ★★★★★
()
Ответ на: комментарий от crypt

У меня нет инсталляций шестого. Я перескакивал с пятого сразу на седьмой. Поэтому мне нечего сказать про «антикварность», как и про то, что мы можем иметь в виду совершенно разное.

imul ★★★★★
()
Ответ на: комментарий от bigbit

вот спасибо за нормальный ответ по теме. а то местные аборигены только ехидничать могут :)

вообще, сейчас найти сервер без edns надо постараться. а таумауты я думаю возникают когда заблочен 53-tcp (тк многие админы думают что dns только по udp работает).

Rost ★★★★★
()
Ответ на: комментарий от imul

ну вот, а я на седьмой не пошел вообще. мне общий тренд развития не нравится.

crypt ★★★★★
()
Ответ на: комментарий от imul

но, надо отдать должное ораклу. у них последний в шестой ветке - 9.8.2. пересобрали сами.

crypt ★★★★★
()
Ответ на: комментарий от crypt

Центось в принципе не может быть свежей. Свежая у меня джента на десктопе. Давай оставим этот странный терминологический спор.
Если у тебя шестой, то есть два варианта. Либо bind в шестом не пропатчили на корректный ответ для edns, либо проблемы где-то посередине между онлайн-тестером и твом сервером. В любом случае я не могу никак тебе ничем помочь, поскольку у меня нет шестого центося. Но, похожий на твой случай (с седьмой центосью) вчера локализовали в теме в толксах (ссылку я дал). Попробуй скачать тестер, собрать и потестировать локально.

imul ★★★★★
()
Ответ на: комментарий от crypt

шестой - 8.7

Где-то я видел про 8.3. Вроде бы старше 8.3 должны работать корректно.

у них последний в шестой ветке - 9.8.2

И где-то я краем глаза видел, что поддержка edns сделана в 9.13/9.14. А 9.8 от 9.4 в этом отношении ничем не отличается, то есть просто корректно отвечает, что не умеет.

imul ★★★★★
()
Ответ на: комментарий от imul

да я и не прошу у тебя помощи:) я выше написал, что есть простое решение) просто решил тебя проинформировать, чтобы ты со своим свежим системдешный центосом не отвечал вообще за всех пользователей центоса)

p.s.

gentoo - не просто свежая. это бета.

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от crypt

Я здесь отвечаю только за себя и за те тесты, результаты которых получил. Что ты про меня нафантазировал мне не важно.
Простое решение это перебрать пакет из федоры? Это без проблем, как и дальнейшая поддержка этого пакета в своём локальном репозитории. Но ведь кто-то ещё мне потом рассказывает про дженту.
А что тебя так от сыстемдэ припекает, что даже специально про это написал? Выпуск седьмого центоса был в 2014 году, в июле уже 5 лет будет, ещё лет пять и менять вместе с железом.

imul ★★★★★
()
Ответ на: комментарий от crypt

это, видимо, седьмой центос у тебя. он очень даже свежий.

Проверил bind-9.4.2 2008 года — тоже All Ok

vodz ★★★★★
()
Ответ на: комментарий от imul

за те тесты

угу, ну вот я с тобой поделился результатами своих

Но ведь кто-то ещё мне потом рассказывает про дженту.

в отличие от дженты эти пакеты собираются стабильным тулчейном и работают между минорными релизами.

А что тебя так от сыстемдэ припекает, что даже специально про это написал?

меня скорее от редхата седьмого (и восьмого). вместе с седьмым «заморозили» технологии, которые не довели до ума. причем несколько сразу. а восьмой со всеми своими кокпитами выглядит как какое-то нагромождение комбайнов (кокпит этот...): а-ля набор виндовых сервисов, которые по мануалу нужно использовать только для четких юзкейсов.

Выпуск седьмого центоса был в 2014 году

да, верно. время летит. сейчас, наверное, там уже полный набор исправлений для решения проблем(см. выше).

crypt ★★★★★
()
Последнее исправление: crypt (всего исправлений: 1)
Ответ на: комментарий от crypt

я с тобой поделился результатами своих

Онлайн тест может сфейлить по двум причинам. Я предлагаю проверить локально собранным тестером, возможно локально всё будет Ок. А может быть пакет из сорцов федоры будет единственным правильным решением проблемы, если локально тест сфейлит.

в отличие от дженты эти пакеты собираются стабильным тулчейном и работают между минорными релизами.

Я искренне рад за стабильный тулчейн федоры, но она слишком нестабильна для моего десктопа.
Если под проблемами считать всякие btrfs и systemd, то набор исправлений их решить не может. А что там в восьмом, ну как выйдет посмотрим, погоняем, освоим. Можно подумать есть какая-то альтернатива с таким же временем поддержки.

imul ★★★★★
()
Последнее исправление: imul (всего исправлений: 1)
Ответ на: комментарий от imul

сфейлить по двум причинам. Я предлагаю проверить

нет причин сомневаться и заморачиваться. пока я с тобой трепался, бекпортировал пакет. завтра и посмотрим.

Я искренне рад за стабильный тулчейн федоры

ты не понял. пакет от федоры, а сборка тулчейном, который замораживает редхат.

Если под проблемами считать всякие btrfs и systemd, то набор исправлений их решить не может.

рад, что ты это признаешь. хотя, конечно, это не полный список.

А что там в восьмом, ну как выйдет посмотрим, погоняем, освоим.

всегда удивлял этот подход «клюнет, тогда и побежим». не мой стиль. а btrfs оттуда выкинули.

Можно подумать есть какая-то альтернатива с таким же временем поддержки.

вот это самая сложная часть. от этого «пригарает» больше всего.

crypt ★★★★★
()

Саппорт хостинга отреагировал в стиле «все хорошо, прекрасная маркиза»

Dear XXX, Thank you for contacting us! We understand your concern about your service. I can asure you that there is no problem with your DNS and you shouldn't be worried at all. If this becomes a problem we will fix immediately.

tnemo
()
Ответ на: комментарий от tnemo

ну и славно. я уверен, единственный, кто может протормозить - это всякие «госы» и «частники».

crypt ★★★★★
()
Ответ на: комментарий от bigbit

BTW, «отмалчивающиеся на запросы» сервера вполне к неподдерживаюим EDNS можно отнести, а те, что отвечают «никаких расширений не поддерживаю» — к поддерживающим.

mogwai ★★★★★
() автор топика
Ответ на: комментарий от crypt

бекпортировал пакет

И как дальше? Будешь заниматься его поддержкой? Баг и секьюрити фиксами? Или будешь уповать на стабильность тулчейна?

всегда удивлял этот подход

У тебя есть другой подход? Предлагаешь на форумах рассказывать как кто-то не прав? Нет, молоток он и есть молоток. Если других молотков не предвидится, то надо изучать матчасть. В любом случае всегда можно сменить род деятельности.
Остальное опущено, чтобы не разжигать оффтопа.

imul ★★★★★
()

Новость выглядит многообещающе, особенно после того как на их сайте проверил вот этих бедолаг:
rkn.gov.ru: Serious problem detected!

A-234 ★★★★★
()

Выкосило slackware.ru. Сабжевый сайт нашёл проблемы.

saahriktu ★★★★★
()
Ответ на: комментарий от WinLin2

Так яндексу это и не нужно, они же за изоляцию, а внутри что угодно можно делать, хоть свои DNS внедрять :)

h4tr3d ★★★★★
()
Ответ на: комментарий от steemandlinux

антикварных центосей

Более чем уверен, что в LTS дистрибутивы обновки прилетят. Как минимум в виде бекпортов.

h4tr3d ★★★★★
()

Объясните уже, что это за EDNS такое и зачем оно (не) нужно?

Такое ощущение, что все здесь это уже прекрасно понимают. Но это не так!

toyo-chi
()
Ответ на: комментарий от crypt

Ага, в панельке 2 раза кликнет и пакет пересоберется, особенно в 5-м центосе.

steemandlinux ★★★★★
()
Последнее исправление: steemandlinux (всего исправлений: 1)
Ответ на: комментарий от steemandlinux

Детская травма? :) Центось покусал? :)

У меня есть в паре мест древний centos5. С centos4, слава аллахам, как-то давно переехал всё-таки. Выше прыгнуть никак, старый древний легаси, который скоро будет упокоённый. Надеюсь.

Deleted
()
Последнее исправление: Deleted (всего исправлений: 2)
Ответ на: комментарий от A-234

rkn.gov.ru: Serious problem detected!

Да уже All Ok!

А вот еще, microsoft.com: Minor problems detected!))

Gibson1980 ★★
()
Последнее исправление: Gibson1980 (всего исправлений: 1)
Ответ на: комментарий от Deleted

Я такое часто видел, вендузятнички сайт которых на древней центоси с установленными панельками, руткиты в комплекте.

steemandlinux ★★★★★
()
Ответ на: комментарий от bigbit

Уточнение - не «серверы имён не поддерживающие EDNS» станут недоступны, а серверы, «отмалчивающиеся» на EDNS-запросы.

И станут недоступны не для всех, а для тех у кого резолвер новой версии. В РФ многие провайдеры заворачивают все DNS-запросы на свои сервера, если они не обновят там bind, то их абоненты ничего и не заметят.

Насколько я понял, BIND 9.9.4

ЕМНИП, edns начали засовывать в bind версии 9.3, и с самого начала у них начались проблемы с отправкой edns запросов, там всякие настройки начали вводить, отключающие edns запросы для заданых адресов, ограничивающие размер udp... Но это всё для клиента (резолвера), а сам сервер не позволял отключить у него edns.

Из кода уберут кусок, который при тайм-ауте пытается повторить запрос без EDNS.

Причём этот кусок кода они крутили так и сяк пытаясь подобрать оптимальный алгоритм выявления подобных серверов, с его удалением у кого-то будет локальный праздник :)

mky ★★★★★
()
Ответ на: комментарий от KOHb-TPOJIJIbJIEP

Там вменяемую диагностику выдают, а не красножёлтозелёные значёчки для дебилов.

а дебилы не могут разглядеть под «красножёлтозелёные значёчки» ссылочку на подробный вывод?

Sith ★★★★★
()
Ответ на: комментарий от steemandlinux

и антикварных центосей

6 CentOS полет нормальный, какие у вас проблемы?

Sith ★★★★★
()
Ответ на: комментарий от steemandlinux

Я такое часто видел, вендузятнички сайт которых на древней центоси с установленными панельками, руткиты в комплекте.

да, че уж там, похоже ты один из них ))

Sith ★★★★★
()

Во, блин. Не знал, что на ЛОР есть цензура. И главное что такое мог сказать, что вызывает «Национальные/политические/религиозные споры» да ещё и в теме про DNS? Кто помнит? Вроде не маленький спорить про Windows/Linux, вера/неверие, русские/не русские.

Feonis ★★★
()
Ответ на: комментарий от imul

А что, там что-то было сказано про «мне»?

Словом, верно ли, что это EDNS в первом приближении для того, чтобы все и везде могли запихивать в один DNS-пакет больше, чем 512 байт?

А может ли оно как-нибудь повлиять на дальнейшую судьбу чего-нибудь вроде DANE?

toyo-chi
()
Ответ на: комментарий от toyo-chi

Потому что в сухом остатке это мало касается кого-либо, кроме авторов расширений протокола и программистов реализующих их в доменных серверах, поскольку запись OPT нужна для «общения» серверов друг с другом.
В первом приближении да.
Влияет на всё, что может не поместиться в UDP пакет 512 байт. Хотя, TLSA ответ небольшой, а вот DNSSEC уже длиннее.

imul ★★★★★
()
Ответ на: комментарий от h578b1bde

Те кто не использует NoScript? Да.

Те кто используют, а потом стонут , что сайт им ссыль не показывает.

Sith ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.