Problémy se zavedením DNSSEC

16. 12. 2008 13:49:51

Minulý týden jsem prostřednictvím našeho správce DNS Forpsi aktivoval zabezpečení domény portálu Na volné noze pomocí DNSSEC. Dnes mne však upozornil Víťa Válka, že z ADSL sítě jeho ISP GTS Novera není doména navolnenoze.cz dostupná.

Po menším kolečku telefonátů jsem nakonec oslovil emailem CZ.NIC a Martin Peterka mi obratem odpověděl, že problém je na straně Forpsi. K doméně sice byla vložena sada klíčů, ale samotná doména nebyla u Forpsi podepsána, takže v sítích, které DNSSEC podporují (GTS Novera aj.), nebyla doména funkční. Z Forpsi mi pak psali, že problém je vyřešen a předpokládám, že opravili také všechny další výskyty této chyby.

Služba Monitoring serverů, kterou pro sledování dostupnosti používám, několikadenní výpadek bohužel nezachytila (DNSSEC zatím nepodporuje). Propad návštěvnosti nebyl vidět ani na statistikách v Google Analytics (ISP s podporou DNSSEC zatím není mnoho). Nebýt Víti, asi bych se o problému do Vánoc vůbec nedozvěděl :-/

Závěr: zavedení DNSSEC má jako všechny nové technologie svá úskalí. CZ.NIC se možná bude snažit podobným chybám v budoucnu předejít, nicméně do té doby je na provozovateli domény či webmasterovi aby funkčnost DNSSEC ověřil.

16. 12. 2008 13:49:51

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184698

ondrej.baar

(2 hodnocení)

16. 12. 2008 14:11:26

Jak by jsi to navrhoval overovat, kdyz nemas cizi sit.

Napada me akorat pomoci nslookup a pouziti dns serveru poskytovatelu podporujicich dnssec. Nejake jine navrhy?

Jinak diky za info - reputace ++

16. 12. 2008 14:11:26

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184697

Robo

(4 hodnocení)

16. 12. 2008 14:22:47

Technicky do toho zase tolik nevidím, takže nejjednodušší, co mě napadá, je najít třeba přes Webtrh uživatele, jehož IPS již DNSSEC podporuje, ať to prostě zkusí :-)

Status DNSSEC se dá jednoduše ověřit na stránkách www.dnssec.cz v pravém sloupečku Test ochrany pomocí DNSSEC (červený/zelený klíč). Snad se tedy zde v diskusi najde nějaký DNSSEC dobrovolník?

16. 12. 2008 14:22:47

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184696

Luboš Hájek

(12 hodnocení)

16. 12. 2008 14:47:33

Mam pristup k par serverum u ruznych ISP kde uz by podpora mela byt, zatim jsem blize netestoval.

Pokud by byl zajem vice lidi, mohu po svatkach pripravit script, ktery vasi domenu otestuje od nekolika ruznych ISP.

No ale to az prijedu z hor, jestli nebude uz nejake reseni zde hotove. :)

16. 12. 2008 14:47:33

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184695

Robo

(4 hodnocení)

16. 12. 2008 18:49:21

Haajo ten skript by byl asi zajímavý nejen pro účastníky tohoto fóra ;-)

Jinak ještě pro úplnost dodávám, že i když byl DNSSEC u mé domény navolnenoze.cz nastaven špatně, ve výpisu z registru CZ.NICu byla zelená ikonka Zabezpečeno pomocí DNSSEC.

Je možné, že po mém upozornění bude CZ.NIC kontrolovat status DNSSEC domény důkladněji, nicméně v této chvíli správné nastavení DNSSEC v jejich výpisu ověřit nelze.

16. 12. 2008 18:49:21

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184694

Milan Kryl

(26 hodnocení)

16. 12. 2008 22:25:58

ikona na CZ.NICu kontroluje DNSSEC v tve siti (ve ktere jsi aktualne pripojen) ne nastaveni nejake domeny....

Aspon co jsem pochopil z kratkeho komentare na Czech Internet Foru.

16. 12. 2008 22:25:58

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184693

Robo

(4 hodnocení)

16. 12. 2008 22:32:02

Myslím, že to není pravda :-)

Náš ISP zatím DNSSEC nepodporuje, a přesto se mi tam ta zelená ikonka potvrzující aktivaci DNSSEC u domény navolnenoze.cz zobrazuje:

http://www.nic.cz/whois/?d=navolnenoze.cz

16. 12. 2008 22:32:02

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184692

Martin Hujer

(21 hodnocení)

16. 12. 2008 22:32:09

Ikonka na http://www.nic.cz/dnssec/ ukazuje DNSSEC v aktuální síti.

Ale podle mě šlo o to, že whois ukazuje:

Napsal "NIC WHOIS"
Zabezpečeno pomocí DNSSEC

I když DNSSEC není na DNS té domény (jako v tomto vláknu) funkční. Tam jde o to, jestli registrátor doméně přiřadit nějaký zabezpečený klíč nebo něco takového.

16. 12. 2008 22:32:09

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184691

Milan Kryl

(26 hodnocení)

16. 12. 2008 22:36:01

Jj Martine - bavime se kazdy o necem jinem :) Ja myslel ikonu site, Robert zase whois zelenú faju :)

16. 12. 2008 22:36:01

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184690

Luboš Hájek

(12 hodnocení)

17. 12. 2008 14:57:42

Ok, tak jsem na to koukal a neco po svatkach vytvorim....... Budu aktivovat dnssec u vice domen, tak to rovnou otestuji.

17. 12. 2008 14:57:42

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184689

Robo

(4 hodnocení)

6. 1. 2009 18:24:38

Měl jsem celou záležitost již za vyřešenou, ale příběh má nečekané pokračování:

Včera mi Víťa Válka napsal, že v ADSL síti GTS Novera opět nemůže přistupovat na doménu navolnenoze.cz, tentokrát však jen občas.

Jako minule jsem tedy kontaktoval Forpsi i CZ.NIC a ti mne ujistili, že tentokrát je nastavení DNSSEC domény v pořádku. Problém je tedy pravděpodobně na jednom z DNS serverů GTS Novera (odtud ty občasné výpadky). Jejich technickou podporu jsem o problému informoval, ale jestli se to nějak řeší, nemám potuchy.

Pokud by takových problematických ISP bylo více, má vůbec smysl ten DNSSEC v tomto ranném stádiu implementovat? Věřím, že CZ.NIC udělal pro osvětu mezi ISP maximum, ale i tak je na pováženou připravovat se zbytečně o návštěvnost a riskovat poškození dobrého jména rozsáhlými výpadky. Pokud byste někdo dali k dispozici ten skript pro ověření funkčnosti DNSSEC domény u různých ISP, mohli bychom mít alespoň hrubou představu, u kolika z nich je DNSSEC správně implementováno.

6. 1. 2009 18:24:38

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184688

Robo

(4 hodnocení)

16. 2. 2009 12:02:51

Stručná průběžná zpráva pro ty, které tato problematika zaujala:

Minulý týden mi Víťa Válka psal, že problém s DNSSEC se objevil znovu. Opět jsem tedy kontaktoval GTS Noveru s odhodláním nedat se tentokrát odbýt s vysvětlením, že nejsem jejich klient. Nakonec se mi podařilo celou věc protlačit až k technikům, kteří mi dnes volali, že celý systém prověřili a všechno se jeví být naprosto v pořádku. Domluvili jsme se tedy tak, že jakmile se problém opět vyskytne, mám je ihned kontaktovat a oni se podle IP paketů pokusí určit, co může být příčinou výpadků. Záhadou je mimo jiné také to, proč ostatní servery s DNSSEC bez potíží jedou.

To be continued...

16. 2. 2009 12:02:51

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184687

Robo

(4 hodnocení)

7. 4. 2009 09:43:48

Zdravím vespolek a posílám závěrečnou zprávu:

Tento měsíc jsem prováděl několik dalších testů stran dostupnosti domény navolnenoze.cz zabezpečené pomocí DNSSEC ze sítí, které tuto technologii podporují a výsledek mne přesvědčil o tom, že DNSSEC zatím opravdu nemá smysl používat. Takže jsem ho u domény nechal zrušit a nezbývá než čekat, že časem budou tyto dětské nemoci odstraněny.

7. 4. 2009 09:43:48

https://webtrh.cz/diskuse/problemy-se-zavedenim-dnssec#reply184686

Pro odpověď se přihlašte.

Přihlásit