Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Доменная зона DE на несколько часов была выведена из строя из-за  DNSSEC"	+/–
Сообщение от opennews (?), 06-Май-26, 09:47
Произошёл массовый сбой в работе доменной зоны "DE", применяемой в Германии. Проблемы возникли из-за ошибки в настройке  DNSSEC для корневой зоны "DE", совершённой организацией DENIC, отвечающей за домен первого уровня "DE". С 5 мая 22:30 по  6 мая 1:30 (MSK) попытка резолвинга доменов в зоне "DE" через DNS-серверы, применяющие DNSSEC для проверки достоверности данных, завершалась ошибкой. На DNS-серверах, применяющих DNSSEC, сбой наблюдался и при резолвинге доменов, напрямую не использующих DNSSEC... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=65380
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Tron is Whistling (?), 06-Май-26, 09:47	+4 +/–
Шо, опять? Для DNSSEC такие проблемы - это норма жизни.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #3, #5, #50

3. Сообщение от Tron is Whistling (?), 06-Май-26, 09:50	+3 +/–
Вот здесь чуть больше истории веселухи. https://ianix.com/pub/dnssec-outages.html А самое интересное, что в целом DNSSEC бесполезен - резолвер у апстрима может просто перехватывать DNS и срезать все записи DNSSEC, хост будет считать, что DNSSEC просто нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #23

4. Сообщение от Bob (??), 06-Май-26, 09:51	+9 +/–
Ручками меняли или ИИ прикрутили?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8

5. Сообщение от timur.davletshin (ok), 06-Май-26, 09:54	+4 +/–
Это просто пример того, что администраторы не понимают в DNSSEC. Как и в gnupg...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #6, #40

6. Сообщение от Tron is Whistling (?), 06-Май-26, 09:56	+2 +/–
Это просто пример того, что ваши поляпки "лучшего видения мира" на практике неюзабельны.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

7. Сообщение от Tron is Whistling (?), 06-Май-26, 09:58	+3 +/–
Сейчас ещё время жизни сертификатов SSL до 90 дней сократят - и начнётся. Я уже купил склад попкорна.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #27, #38

8. Сообщение от Аноним (8), 06-Май-26, 09:59	+9 +/–
Токены внезапно закончились, и несколько часов потратили на согласование и закупку. Учитывая что всё происходило после 17:00 по местному времени - небывалое проявление ответственности к своей работе для немцев.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #9, #15

9. Сообщение от Tron is Whistling (?), 06-Май-26, 10:01	+3 +/–
Выбор времени кстати вполне адекватный. Офисы закрылись, а домоюзеры в случае чего перетерпят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

12. Сообщение от Аноним (-), 06-Май-26, 10:06	+2 +/–
> Доменная зона DE на несколько часов была > выведена из строя из-за DNSSEC В смысле - выведена из строя?! Наоборот SEC наступил - в его полном варианте! Если хост даже не резольвится - вот облом то для атакуюзего. Это же еще надо было догадаться заранее айпишник записать, на случай такой подставы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17

15. Сообщение от Аноним (15), 06-Май-26, 10:45	+2 +/–
Зря ты так, они наверное за три недели согласовали с workers council овертайм
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

17. Сообщение от Tron is Whistling (?), 06-Май-26, 10:55	+1 +/–
Вот да. Нет резолва - нет проблем, 100% секурно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

19. Сообщение от Макан Негодяй (?), 06-Май-26, 11:35	–6 +/–
То, что все публичные DNS не перешли на namecoin или любой другой независимый блокчейн спустя 25 лет с момента его появления - это не просто позор, это кассета гвоздей в крышку гроба так называемого человечества.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #21, #22, #24, #45

21. Сообщение от ryoken (ok), 06-Май-26, 11:38	+1 +/–
> это кассета гвоздей Quake 1 & Super Nailgun
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

22. Сообщение от Чел (?), 06-Май-26, 11:41	+/–
Так поди если покопаться там куча бабла и переходить куда-то значит с этой кучей распрощаться
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от Аноним (23), 06-Май-26, 11:56	+1 +/–
Резолверы, которым нужен DNSSEC, настраиваются так что отсутствие DNSSEC само по себе является ошибкой. Твоя виндо/мако/лино/андроидо/айосо-коробка по дефолту вообще нихрена не проверяет, можешь даже не переживать по этому поводу если тебе DNSSEC не нужен, у тебя и так уже все домены хотя бы раз провайдер подменял и удалял.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #35, #36

24. Сообщение от Аноним (23), 06-Май-26, 12:01	–1 +/–
Ты свой резолвер то поднял, куда полезет 10к телевизоров в наносекунду с запросами рандомно-наштруганных хостов на AWS и точно так же твой хост будет 10к запросов в наносекунду для всех этих доменов ходить в NS AWS и доблять их к себе в кэш?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #25

25. Сообщение от Макан Негодяй (?), 06-Май-26, 12:04	–1 +/–
А сейчас что мешает этим 10к телевизорам рандомно-наштруганные запрашивать?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #30

26. Сообщение от Аноним (26), 06-Май-26, 12:05	–1 +/–
Вин3 норм работает, а эти тут новомодностей наклепали, ироды. Теперь обновляться придется дойче-госу . Пусть частники отдуваются со своими  Суси.
Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от Аноним (27), 06-Май-26, 12:17	+1 +/–
Он протухнет, потому что ничего не будет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #37

30. Сообщение от Аноним (23), 06-Май-26, 12:37	+/–
Тем, что им твой резолвер нафиг не нужен. А как только DNS превращается в p2p, резко выясняется, что большинство софта в девайсах "для нормисов" делалось кривозубыми мдками, которые преследуют свои цели, а не совместимость с другими девайсами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #32, #33

32. Сообщение от Макан Негодяй (?), 06-Май-26, 12:51	–1 +/–
Это проблемы владельцев таких девайсов. Придётся им в комплекте к телевизору дополнительно свой резолвер покупать, чтоб не банили.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

33. Сообщение от Аноним (23), 06-Май-26, 12:55	+/–
К тому же "перешли на чейкоин" - это не сильно лучше, чем та система, которая есть сейчас. Любой девайс (или хотя бы роутер) в праве проверять самостоятельно DNSSEC ANS сервера напрямую, скачав ключик один раз и положив в папку. Доверие можешь прикрутить сбоку каким хочешь механизмом, сейчас это делается через TLD которые централизованно назначаются ICANN и весь движ происходит на коммерции. Не хочешь красивых имён? Ради бога - добро пожаловать в Tor, I2P и другие подобные схемы, где у доменов есть математическая привязка к ключу. Тут даже торговаться не надо за красивый домен, потому что кто знает ключ - тот и владелец, сам себя можешь авторизовывать, если резолвер обучить этому. Но тогда возникает вопрос - а кто тебя такого красивого будет резолвить с твоими понагенеренными доменами на каждый случай жизни? И получается что это должен быть бесплатный движ тех кому не лень. У Тора куча бабок на эти занятия. У I2P - не очень. Сравни связность обоих сеток.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #39

35. Сообщение от Tron is Whistling (?), 06-Май-26, 13:18	+1 +/–
Даже клаудфлара выключила DNSSEC на резолверах для .de в этом кейсе, а ты всё туда же. Вот кому нужна проверка DNSSEC - те и включают. У себя на хостах (и тут будет сюрприз - та же винда вообще в DNSSEC не умеет) или на своих собственных резолверах. Которые поднимают сами и трахаются с ними, когда DNSSEC упадёт - тоже сами.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

36. Сообщение от Tron is Whistling (?), 06-Май-26, 13:21	+/–
Так что в целом согласен: "Резолверы, которым нужен DNSSEC, настраиваются так что отсутствие DNSSEC само по себе является ошибкой" - абсолютно так. Проблема в другом. Таких полтора землекопа в этой вариации, да и они, отгребя проблем, выключат по итогам. Ну и если оно у всех не включено - полагаться на него в твоих собственных доменах бессмысленно. Тот же DANE летать не будет, потому что. Ключ могут подменить, а большинство резолверов схавает. Что и позволяет говорить о том, что DNSSEC - бесполезная херня.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

37. Сообщение от Tron is Whistling (?), 06-Май-26, 13:22	+1 +/–
Неа, SSL протухнет первым.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

38. Сообщение от Аноним (38), 06-Май-26, 13:22	+/–
> проблема возникла из-за ошибки при обновлении цифровой подписи Хороший инструмент, щёлк пальчиками - и весь сегмент выключен.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

39. Сообщение от Макан Негодяй (?), 06-Май-26, 13:29	–1 +/–
Я хочу чтобы почта ходила из gmail в .bit и обратно, или в любую другую зону, где я могу без одобрения барина и принудительной вакцинации зарегистрировать некий условный домен. В текущей системе это невозможно. Идея о том, что можно залезть в даркнет и больше никогда из него не вылезать мне понятна, но речь немного не об этом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

40. Сообщение от Аноним (40), 06-Май-26, 14:09	+/–
>DNSSEC gnupg Тоже мне, бином Ньютона
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #41

41. Сообщение от timur.davletshin (ok), 06-Май-26, 14:34	–1 +/–
>>DNSSEC gnupg > Тоже мне, бином Ньютона Да, я тоже жалею, что не ты DNS админишь в .de :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #40 Ответы: #43

43. Сообщение от Аноним (40), 06-Май-26, 15:09	–1 +/–
Тебе-то какая в том забота?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #55

44. Сообщение от Аноним (-), 06-Май-26, 15:13	+1 +/–
Конспирологии ещё такой не было: местный майор попросил днс подменить, ничего проще чем отключить весь  dnssec не придумали 😄
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #51, #52

45. Сообщение от вах (ok), 06-Май-26, 15:15	+/–
Так все же пользуются Oblivious DNS over HTTPS (ODoH). Ну открыли сайт проекта namecoin... Русского языка нету - не нужно! РКП ещё их не забалело? Что аж на столько не нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

46. Сообщение от Аноним (46), 06-Май-26, 15:39	+/–
Зато можно домен для своей среды рабочего стола можно прикупить. Например cosmic.de или gnome.de
Ответить | Правка | Наверх | Cообщить модератору

50. Сообщение от Аноним (50), 06-Май-26, 17:34	–1 +/–
> Для DNSSEC такие проблемы - это норма жизни. За двенадцать лет ни разу не словил никаких проблем с DNSSEC. Секрет прост: тестирую в замкнутом контуре прежде чем вываливать в прод.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

51. Сообщение от Аноним (38), 06-Май-26, 18:23	+/–
И внезапно оказывается, что вернёт mitm-клаутваря - туда и пойдёшь за сайтом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

52. Сообщение от Аноним (52), 06-Май-26, 18:37	+/–
Да пля, проще на провайдере сказать что DNSSEC нет. Да и кучу других mitm вариантов. Тупо некомпетентность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

53. Сообщение от Аноним (53), 06-Май-26, 18:53	+/–
А я то думаю, чего ComputerBase лежит.
Ответить | Правка | Наверх | Cообщить модератору

55. Сообщение от timur.davletshin (ok), 06-Май-26, 21:22	+/–
Государственный DW читаю, почту имею на известном немецком бесплатном сервисе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

56. Сообщение от Аноним83 (?), 06-Май-26, 23:58	+/–
DNSSEC, как и повсеместный TLS нужны чтобы контролировать инет. Кто не понравился - отозвал серт и у них нац сегмент лёг типа сразу. Обычному пользователю в обычных применениях ни то ни другое не нужно. И TLS не нужен для 99,9% сайтов - где юзер не авторизуется, там и терять нечего. Имел возможность настроить DNSSEC у себя ещё лет 15 назад, но не стал, потому что когда не работает это сильно хуже чем когда кто то пытается подсунуть что то не то.
Ответить | Правка | Наверх | Cообщить модератору

57. Сообщение от Джон Титор (ok), 07-Май-26, 00:49    Скрыто ботом-модератором	+/–
Давайте пожалеем немцев? Они бы нас не пожалели. Правда? И скажу ещё раз - проблема в самом DNS. Этот протокол нужно менять, а не вставлять костыли.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема