Téma: Problémy se zavedením DNSSEC

Minulý týden jsem prostřednictvím našeho správce DNS Forpsi aktivoval zabezpečení domény portálu Na volné noze pomocí DNSSEC. Dnes mne však upozornil Víťa Válka, že z ADSL sítě jeho ISP GTS Novera není doména navolnenoze.cz dostupná.

Po menším kolečku telefonátů jsem nakonec oslovil emailem CZ.NIC a Martin Peterka mi obratem odpověděl, že problém je na straně Forpsi. K doméně sice byla vložena sada klíčů, ale samotná doména nebyla u Forpsi podepsána, takže v sítích, které DNSSEC podporují (GTS Novera aj.), nebyla doména funkční. Z Forpsi mi pak psali, že problém je vyřešen a předpokládám, že opravili také všechny další výskyty této chyby.

Služba Monitoring serverů, kterou pro sledování dostupnosti používám, několikadenní výpadek bohužel nezachytila (DNSSEC zatím nepodporuje). Propad návštěvnosti nebyl vidět ani na statistikách v Google Analytics (ISP s podporou DNSSEC zatím není mnoho). Nebýt Víti, asi bych se o problému do Vánoc vůbec nedozvěděl :-/

Závěr: zavedení DNSSEC má jako všechny nové technologie svá úskalí. CZ.NIC se možná bude snažit podobným chybám v budoucnu předejít, nicméně do té doby je na provozovateli domény či webmasterovi aby funkčnost DNSSEC ověřil.

JooH poptává: OPC Server
Maii99 nabízí: IT služby pro firmy i domácnosti
Kumisko poptává: Programátor, prestashop, php

Jak by jsi to navrhoval overovat, kdyz nemas cizi sit.

Napada me akorat pomoci nslookup a pouziti dns serveru poskytovatelu podporujicich dnssec. Nejake jine navrhy?

Jinak diky za info - reputace ++

Technicky do toho zase tolik nevidím, takže nejjednodušší, co mě napadá, je najít třeba přes Webtrh uživatele, jehož IPS již DNSSEC podporuje, ať to prostě zkusí :-)

Status DNSSEC se dá jednoduše ověřit na stránkách www.dnssec.cz v pravém sloupečku Test ochrany pomocí DNSSEC (červený/zelený klíč). Snad se tedy zde v diskusi najde nějaký DNSSEC dobrovolník?

Mam pristup k par serverum u ruznych ISP kde uz by podpora mela byt, zatim jsem blize netestoval.

Pokud by byl zajem vice lidi, mohu po svatkach pripravit script, ktery vasi domenu otestuje od nekolika ruznych ISP.

No ale to az prijedu z hor, jestli nebude uz nejake reseni zde hotove. :)

Haajo ten skript by byl asi zajímavý nejen pro účastníky tohoto fóra ;-)

Jinak ještě pro úplnost dodávám, že i když byl DNSSEC u mé domény navolnenoze.cz nastaven špatně, ve výpisu z registru CZ.NICu byla zelená ikonka Zabezpečeno pomocí DNSSEC.

Je možné, že po mém upozornění bude CZ.NIC kontrolovat status DNSSEC domény důkladněji, nicméně v této chvíli správné nastavení DNSSEC v jejich výpisu ověřit nelze.

ikona na CZ.NICu kontroluje DNSSEC v tve siti (ve ktere jsi aktualne pripojen) ne nastaveni nejake domeny....

Aspon co jsem pochopil z kratkeho komentare na Czech Internet Foru.

Myslím, že to není pravda :-)
Náš ISP zatím DNSSEC nepodporuje, a přesto se mi tam ta zelená ikonka potvrzující aktivaci DNSSEC u domény navolnenoze.cz zobrazuje:
http://www.nic.cz/whois/?d=navolnenoze.cz

Ikonka na http://www.nic.cz/dnssec/ ukazuje DNSSEC v aktuální síti.

Ale podle mě šlo o to, že whois ukazuje:

Původně odeslal NIC WHOIS

Zabezpečeno pomocí DNSSEC

I když DNSSEC není na DNS té domény (jako v tomto vláknu) funkční. Tam jde o to, jestli registrátor doméně přiřadit nějaký zabezpečený klíč nebo něco takového.

Jj Martine - bavime se kazdy o necem jinem :) Ja myslel ikonu site, Robert zase whois zelenú faju :)

Ok, tak jsem na to koukal a neco po svatkach vytvorim....... Budu aktivovat dnssec u vice domen, tak to rovnou otestuji.

Měl jsem celou záležitost již za vyřešenou, ale příběh má nečekané pokračování:

Včera mi Víťa Válka napsal, že v ADSL síti GTS Novera opět nemůže přistupovat na doménu navolnenoze.cz, tentokrát však jen občas.

Jako minule jsem tedy kontaktoval Forpsi i CZ.NIC a ti mne ujistili, že tentokrát je nastavení DNSSEC domény v pořádku. Problém je tedy pravděpodobně na jednom z DNS serverů GTS Novera (odtud ty občasné výpadky). Jejich technickou podporu jsem o problému informoval, ale jestli se to nějak řeší, nemám potuchy.

Pokud by takových problematických ISP bylo více, má vůbec smysl ten DNSSEC v tomto ranném stádiu implementovat? Věřím, že CZ.NIC udělal pro osvětu mezi ISP maximum, ale i tak je na pováženou připravovat se zbytečně o návštěvnost a riskovat poškození dobrého jména rozsáhlými výpadky. Pokud byste někdo dali k dispozici ten skript pro ověření funkčnosti DNSSEC domény u různých ISP, mohli bychom mít alespoň hrubou představu, u kolika z nich je DNSSEC správně implementováno.

Stručná průběžná zpráva pro ty, které tato problematika zaujala:

Minulý týden mi Víťa Válka psal, že problém s DNSSEC se objevil znovu. Opět jsem tedy kontaktoval GTS Noveru s odhodláním nedat se tentokrát odbýt s vysvětlením, že nejsem jejich klient. Nakonec se mi podařilo celou věc protlačit až k technikům, kteří mi dnes volali, že celý systém prověřili a všechno se jeví být naprosto v pořádku. Domluvili jsme se tedy tak, že jakmile se problém opět vyskytne, mám je ihned kontaktovat a oni se podle IP paketů pokusí určit, co může být příčinou výpadků. Záhadou je mimo jiné také to, proč ostatní servery s DNSSEC bez potíží jedou.

To be continued...

Zdravím vespolek a posílám závěrečnou zprávu:

Tento měsíc jsem prováděl několik dalších testů stran dostupnosti domény navolnenoze.cz zabezpečené pomocí DNSSEC ze sítí, které tuto technologii podporují a výsledek mne přesvědčil o tom, že DNSSEC zatím opravdu nemá smysl používat. Takže jsem ho u domény nechal zrušit a nezbývá než čekat, že časem budou tyto dětské nemoci odstraněny.