1 февраля 2019 года ваш сайт может перестать работать

    Cisco является одним из крупнейших DNS-провайдеров в мире, предоставляя услугу безопасного DNS на базе Cisco Umbrella (ранее OpenDNS), но речь сегодня пойдет не о ней и даже не о безопасности. Дело в том, что 1-го февраля наступит так называемый DNS Flag Day, после которого ваш сайт может быть недоступен пользователям в Интернет.

    С 1-го февраля будет недоступен сайт НКЦКИ ФСБ

    О чем идет речь? Протокол DNS был разработан в начале 80-х годов. С тех пор много воды утекло и в протокол DNS понадобилось добавить новые функции и возможности. Такая работа была начала в 1999 году, когда в виде RFC 2671 была опубликована первая версия расширений под названий EDNS0 (Extension Mechanism for DNS). Данная версия позволила снять некоторые ограчения, например, на размер некоторых полей флагов, кодов возврата и т.п. Текущая версия расширенного протокола EDNS описана в RFC 6891. При этом в Интернет продолжали существовать DNS-сервера, которые не поддерживали и не поддерживают EDNS, создавая тем самым определенные сложности при взаимодействии, необходимости обеспечивать обратную совместимость, что в свою очередь приводит как к замедлению работу всей системы DNS, так и к невозможности в полной мере реализовать все новые возможности EDNS.

    Но этой вакханалии пришел конец — с 1-го февраля неподдерживающие стандарт EDNS сервера будут недоступны и попасть на них будет невозможно. Будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound, которое будет принимать только соответствующий стандарту EDNS трафик. Трафик со старых и необновленных серверов будет рассматриваться как нелегитимный и эти сервера обслуживаться не будут, что может привести к недоступности доменов, которые «висят» на этих серверах.

    Для большинства компаний DNS Flag Day пройдет незамеченным, так как многие DNS-провайдеры уже обновляют или обновили свое ПО до необходимых версий. Сложности могут возникнуть у тех компаний, кто самостоятельно поддерживает собственные DNS-сервера, а также многих госорганов, которые не слишком оперативно обновляют ПО в своей инфраструктуре, не имея на это либо средств, либо квалифицированных специалистов. В результате с 1-го февраля сайты многих ведомств могут стать недоступны или столкнуться с проблемами с доступом.

    Сайт Роскомнадзора

    Проверить перспективы доступа к своему сайту в феврале 2019-го года достаточно просто — надо всего лишь зайти на сайт dnsflagday.net, ввести там имя своего домена и получить результат, который будет иметь разные значения. В идеале вы должны увидеть картинку, аналогичную той, которая показана ниже для сайта cisco.ru:

    image

    Если вы видите картинку, аналогичную той, которая выдается, например, для сайта АНО «Цифровая экономика», то это означает, что сайт работать будет, но он не поддерживает последний стандарт DNS и не сможет в полном объеме реализовать необходимые функции безопасности и может стать мишенью для хакеров, которые могут (а вдруг) атаковать этот сайт.

    image

    Первые две картинки из этой заметки с красными знаками дорожного движения — это самое плохое, что вы можете увидеть. Лучше поскорее обновить ПО, обеспечивающее работу вашего DNS. На сайте dnsflagday.net вы можете получить все необходимые инструкции и ссылки для того, что актуализировать свое ПО. Там же есть ссылки и на различные утилиты для администраторов, которые позволяют сканировать свою DNS-инфраструктуру в поисках слабых мест.

    В завершение заметки я не могу не коснуться вопросов безопасности. Дело в том, что некоторые межсетевые экраны могут блокировать DNS-пакеты длиной более 512 байт (с расширениями EDNS), что может приводить к реализации DoS-атак (например, МСЭ может блокировать DNS cookies, которые являются частью EDNS и предназначены как раз для защиты от DoS-атак) и снижению скорости в Интернет. Поэтому стоит обратить внимание на правила ваших МСЭ, так как раньше это было достаточно распространено и многие уже просто забыли, когда и зачем добавлялись правила в свои средства сетевой периметровой безопасности.

    До наступления DNS Flag Day остается меньше двух недель — еще достаточно времени на то, чтобы начать соответствовать стандарту и не снижать лояльность клиентов и граждан, которые, столкнувшись с недоступностью или замедленной работой вашего сайта, начнут нелицеприятно высказываться об этом в соцсетях.

    Разумеется, говорить о глобальном апокалипсисе не стоит. Более того, для многих этот день, как я написал выше, пройдет и вовсе незамеченным. Но настройки DNS в этот день будут менять многие провайдеры, что может сказаться на доступности некоторых сайтов. Это риск, о котором стоит знать и к которому надо быть готовым.
    Cisco
    99,00
    Cisco – мировой лидер в области сетевых технологий
    Поделиться публикацией

    Комментарии 162

      +15
      Запасаемся попкорном)
      Ну как бы ладно частники, но таки вангую забавы с гос.сектором, ибо тут все как обычно же — «снег идет всегда внезапно, а его и не ждал никто».

      И да, дописал чють позже, ну так, что бы поржать)
      habr.com — All Ok!
      gosuslugi.ru — Serious problem detected!
      fssprus.ru — Minor problems detected!
      nalog.ru — Fatal error detected!
      cikrf.ru — Serious problem detected!
      и т.д.
      Впрочем даж не надо было и проверять, ибо изначально и так все очевидно чють более чем полностью.
        +13

        Авангард — avangard.ru — Serious problem detected!
        Альфа-Банк — alfabank.ru — Minor problems detected!
        Банк Санкт-Петербург — bspb.ru — All Ok!
        ВТБ — vtb.ru — All Ok!
        Газпромбанк — gazprombank.ru — Serious problem detected!
        ДельтаКредит — deltacredit.ru — All Ok!
        Модульбанк — modulbank.ru — All Ok!
        Московский Кредитный Банк — mkb.ru — All Ok!
        ФК «Открытие» — open.ru — All Ok!
        Почта Банк — pochtabank.ru — All Ok!
        Промсвязьбанк — psbank.ru — Fatal error detected!
        Райффайзенбанк — raiffeisen.ru — All Ok!
        РНКБ — rncb.ru — Serious problem detected!
        Росбанк — rosbank.ru — All Ok!
        Россельхозбанк — rshb.ru — Minor problems detected!
        Сбербанк — sberbank.ru — Serious problem detected!
        Сетелем Банк — cetelem.ru — All Ok!
        Тинькофф — tinkoff.ru — Minor problems detected!
        Точка Банк — tochka.com — Fatal error detected!
        Хоум Кредит Банк — homecredit.ru — Minor problems detected!
        ЮниКредит Банк — unicreditbank.ru — Fatal error detected!

          +7
          github.com — Minor problems detected!
            +41
            rutracker.org: All Ok!
            telegram.org: All Ok!
            torproject.org: All Ok!
            pornhub.com: All Ok!
              +1
              Вконтакте — vk.com — Minor problems detected!
              Твиттер — twitter.com — Minor problems detected!
              Facebook — facebook.com — All Ok!
              Одноклассники — ok.ru — All Ok!
              Instagram — instagram.com — Minor problems detected!
                +5
                Flibusta.is — All OK.
                Всё, я спокоен.
                  0

                  dnsflagday.net – OK

                +10
                rutracker и pornhub будут жить и я вместе сними))
                  +5
                  Эти порталы выживут даже после атомной войны. Заложенная в них суть — максимально помехоустойчива к любым катастрофам (ну почти).
                    0
                    <-sarcasm->Я думаю, что разработчики протоколов под эти сайты и работают. Остальные вынуждены подстраиваться потом))))</-sarcasm->
                      0
                      Ну то, что порно двигает прогресс — об этом, конечно, уже давно известно )
                      А свободно делиться знаниями — это вообще часть человеческой культуры испокон веков.
              0
              image
                0

                Да. Кажется, некоторые банки и госструктуры отреагировали и исправились.

                0
                Сижу за компом, и тут осенило, а ведь сегодня 1 февраля!
                Нашел ваш комментарий, проверил наугад 6 сайтов с Fatal и Serios problems.
                Все работает. Как так?
                  0

                  "Однако за время пути собака могла подрасти".


                  Вы перепроверяли их на dnsflagday.net? Из моего списка все фаталы теперь зелёные. Серьёзных проблем теперь тоже нет. Авторы устроили панику, админы обновили свои сервера. В этом хитрый план и состоял.

                    0
                    Рано еще :-) 1-е февраля — это дата, с которой перестанут поддерживать старые версии протокола. Пока новый софт накатят еще на сервера…
                  +38
                  Теперь главное, чтобы когда у них все ляжет, криворукость не объяснили проявлением угроз целостности, устойчивости и безопасности функционирования на территории Российской Федерации сети ’’Интернет” и не стали бы в дальнейшем использовать как «прецедент».
                  Понимаю, что звучит бредово, но, учитывая современные реалии, совсем исключать такой вариант, боюсь, не стоит.
                    +3
                    Или чтобы товарищи снаружи не объявили, что во всём хайли лайкли виноваты рашен хакерс…
                      +7

                      Боюсь, как бы так и не случилось. Слишком велик соблазн оправдаться внешней угрозой, тем более, что она как бы действительно «извне»:
                      « — Мы ничего не трогали, но все упало. По имеющимся сообщениям из остальных органов исполнительной власти — таможни, налоговой, прокуратуры — у них все то же. Это не мы!


                      • Это акт агрессии, Владимир Владимирович...
                      • Расчехляйте Сармат!»

                      Мысль можно развернуть ещё дальше: к этому событию и готовились… когда специально ничего портить не надо. Достаточно просто не следить за некоторыми неочевидными тонкостями.

                        –1
                        Уголовное дело против организованной кибегруппировки, закоммитившей враждебные патчи по всему миру по команде главаря. Расценивается как терракт и покушение на конституционный строй.

                        deploying novichok in 5 4 3 2 1
                          –1
                          И сразу за этим прокуратура и суд «провайдеры, предоставьте логи атаки». Ни те, ни другие нифига не поймут, но скажут — «во, мы его поймали!»
                        0
                        Абсолютно не бредово. Вы рассуждаете как здравомыслящий человек без шкурного интереса. Но ведь это крайне удобный случай для нагнетания обстановки при реализации своих целей. Разбираться в вопросе почти никто не станет, и для обывателя в любом случае катастрофически сложно будет понять суть проблемы, зато многим придётся столкнуться лично. А личное — это всегда крайне болезненно. Я бы сказал, это единственное, что ещё как-то может добраться до человека через толстую шкуру равнодушия у нас сегодня.
                          0

                          Как раз таки — это совершенно бредово. Поиски повода имели бы смысл, если бы там на западе кто-то считался с нашим мнением. Проверьте ещё раз. Госуслуги починили. Почти всех починили. Не разводите этих дешёвых теорий заговоров на таком серьёзном портале.

                          –1
                          РКН же просто объявит это DNS-атакой. А Ашманов — "ЦРУшным трояном".
                          –1
                          (del)
                            +1
                            Самое ужасное, что алиэкспресс не будет работать, остальное ерунда.
                            Да и если серьезно, то все равно ерунда, мне не один гос сайт не нужен, как и сбербанк, главное сервисы гугл и все, больше ничего не нужно.
                              –1
                              Ага. и начнутся разговоры про злых американских хакеров, ЦРУ и прочее
                                0

                                Gosuslugi — Ok.
                                https://yadi.sk/i/KbwqZZ8lUFsinw


                                Не разводите тут теорий заговоров.

                                +11
                                Для доменов управляемых DNS-хостингом Яндекса Minor problems detected!
                                Как так-то.
                                  0
                                  У меня на 3 доменах «Minor problems detected!».
                                  Хотя на один из них при первой проверке был красный.
                                    +1

                                    И у reg.ru то же самое

                                      +1
                                      Я вот боюсь, что они денежку будут просить за зелёный статус.
                                      +1
                                      Так а что делать-то с этими небольшими проблемами? Быстро не гуглится…
                                      0
                                      .tk будет тормозить :(
                                        0
                                        А у меня говорит ОК.
                                          0
                                          У них (сайт для проверки) там баг (или просто не учли). Запись в кеше сохраняется и повторный запрос всегда отвечает «ОК». С телефона не могу проверить, но судя по всему они с клиента запрос делают, а значит повторная проверка или проверкая адреса с долгим ttl может быть неправильная.
                                            0
                                            Судя по моим сегодняшним экспериментам, ужё учли.
                                          0
                                          смотри-ка, исправили. нужно такие облавы раз в 3 года устраивать для профилактики. :)
                                          –12
                                          Ну конечно!
                                          О чём ещё мог написать Мировой Лидер Сетевых Технологий?!
                                          Разумеется, о МегаФэйле.
                                            +12
                                            Ну фейла пока нет. Заметка призвана помочь не доводить до фейла :-)
                                            +16
                                            Даже dnsflagday.net думает, что pocha.ru — slow…
                                              +4
                                              даа..., это ж они в целом оценку дали
                                              +17
                                              А давайте сайт rkn.gov.ru чинить не будем…
                                                +5
                                                А потом РКН скажет сами знаете кому что «Царь батюшка тут вот запад устроил атаку на банки, на ряд сервисов и на наш тоже обрушили свои взгляды басурманские, нужны 2 млрд. для обеспечение безопасности.»
                                                 
                                                image
                                                  0
                                                  Нет, вот эти господа скажут, что они всё это предвидели и нужно срочно принимать предложенный законопроект.

                                                  Клишас и Луговой внесли законопроект о суверенном Рунете. Эти меры гарантируют работу Рунета при невозможности подключения к зарубежным серверам
                                                    0
                                                    А что — это ТАК проблема не исправимая быстро? Именно невозможность подключения и невозможность это исправить, если специалисты провайдеров действительно понимают что да — надо срочно исправлять проблему (допустим по сценарию «Семь дней в июле» — там один из элементов сюжета — именно то что у всех стран СНГ(+прибалты) интернет между собой — работает, а со всем что было вне — не работает, и не заработает уже, при этом — какой существенной угрозы работе того что осталось — не ожидается, ну кроме того что любой импорт хайтеха — тоже накрылся).
                                                      +1
                                                      Проблема в том, что к зарубежным серверам всё ещё можно подключиться и невозможно быстро это запретить.
                                                    +2
                                                    Цветовой шум это какой-то шифр?
                                                      +2
                                                      <irony>Это подпись коммента GPG ключом</irony>
                                                    0
                                                    А зачем им его чинить? После того как rkn.gov.ru и прочие сайты перестанут работать они скажут, что америка саботирует работу госсайтов и выпустят закон запрещающий использование любых DNS серверов, кроме национальных.
                                                      0
                                                      а у них домен разве не .no?
                                                    +3
                                                    Если так ничего и не исправят на гос. сайтах, интересно будет посмотреть, что скажут в новостях))
                                                    Ставлю на «Хакерскую атаку США» или «Тёмные силы»
                                                      +1
                                                      Сенатор Клишас скажет «вы смеялись над моим проектом суверенного Рунета, а я предвидел, я предупреждал!».
                                                        0
                                                        Вмешательство в работу российского интернета извне. Формально все так и можно описать. ПО зарубежное, управляется извне, сговор производителей ПО против россии и стабильности российской сети на лицо. Ох, чувствую, так оно все и будет, хороший повод протолкнуть последние «законы», учитывая повальную техническую неграмотность людей, их принимающих.
                                                          0

                                                          Однако как минимум rkn.gov.ru, gosuslugi.ru, nalog.ru исправили.

                                                          +1

                                                          А как из консоли проверить?

                                                          +10
                                                          Люди, которые 2 года боялись заменить ключи корневой зоне, ВНЕЗАПНО решили поломать весь интернет?!.. 0_о
                                                          Всё сломается а гугл нашёл из достоверных источников только блогозапись в APNIC?!.. 0_0!!111

                                                          Либо мужикам ещё не сказали, что через 2 недели всё сломается, либо ничего не сломается, поскольку интернеты на ушах из-за меньших неприятностей стояли…
                                                            +8
                                                            К счастью, мой сайт уже не работает.
                                                              0
                                                              Надо бы заранее записать в файл IP адреса основных сервисов. Ну так, на всякий случай.
                                                                0
                                                                Да и вообще весь интернет забэкапить бы.
                                                                И закупить, пока недорого, флэшек, почтовых голубей и собачьих упряжек. :)
                                                                  +1
                                                                  • Запишите мне на дискету интернет.
                                                                  • Не получится, интернет-то большой!
                                                                  • Ну хотя бы за последние два дня.
                                                                +1

                                                                Забавно то, что у меня например тестер показывает ок для доменов, резолв которых доверен российскому хостеру, но для aws route 53 — minor issues. Правда на доступность доменов это не должно повлиять —

                                                                  0
                                                                  Судя по тестам, AWS отдает неверный ответ на неверный запрос: в данный момент существует только версия EDNS0 а тесты запрашивают EDNS1, которого не существует.
                                                                  То есть тест спрашивает у Route53 то, чего не существует, и ожидает что AWS Route53 как-то правильно отреагирует
                                                                    0
                                                                    странно, что у них такой кривой тест
                                                                      +2
                                                                      Мой комментарий, к стыду моему, действительно дает ощущение что «тест кривой».
                                                                      На самом деле ожидание правильной обработки неверного запроса входит в RFC, но пока что не реализовано у AWS.
                                                                      Обсуждение: forums.aws.amazon.com/message.jspa?messageID=851817
                                                                  +1

                                                                  а кому принадлежит dnsflagday.net? в whois всё обфусцированно: https://www.whois.com/whois/dnsflagday.net

                                                                    0
                                                                    ucoz.ru: Serious problem detected!

                                                                    Неееееееееееееееееет

                                                                      +1
                                                                      Царь хороший — бояре плохие. Вот пруф.

                                                                      kremlin.ru — All OK
                                                                      government.ru — All OK
                                                                      mid.ru — All OK
                                                                      cbr.ru — Fatal error detected
                                                                      nalog.ru — Fatal error detected
                                                                      fsb.ru — Serious problem detected
                                                                      gosuslugi.ru — Serious problem detected
                                                                      mil.ru — Serious problem detected
                                                                      pochta.ru — Serious problem detected
                                                                      rkn.gov.ru — Serious problem detected
                                                                        +1
                                                                        Интересно, что government.ru еще вчера был не ОК
                                                                          +3
                                                                          Видимо, Дмитрий Анатольевич не только Фейсбук читает, но и Хабр.
                                                                            +3
                                                                            И это не может не радовать
                                                                              0
                                                                              Уважаемый Димон, верните летние часы. Рассвет в 3 утра надоел.
                                                                                0
                                                                                Кому чего ;) Тогда закат будет в 12 (в 24) ;)
                                                                                  0
                                                                                  Вы так говорите, как будто это что-то плохое ¯\_(ツ)_/¯
                                                                                  (Некоторым надоел закат в 3-4 (в 15-16) зимой и в 8 (в 20) летом.)
                                                                                    0
                                                                                    Как Тришкин кафтан не дели, те же три тёмных часа летней ночи, всё одно всем не угодишь ;) Чай не на широте Александрии живём ;) Разве что вспомнить греков: всегда ровно 12 часов от рассвета до заката и 12 часов от заката до рассвета, естественно с разной продолжительность дневных и ночных часов.

                                                                                    А полдень должен быть в полдень. За полжизни, лично я как-то смирился, что полдень не в 12:00, а в 13:00 (в Москве пораньше, в Ленинграде попозже).

                                                                                    Но зачем его сдвигать на 14:00?! Причём ещё и беспорядочно двигать туда-сюда по хаотично меняющимся правилам?! Вот к этому за 30 лет этого безобразия, лично я, привыкнуть так и не смог.

                                                                                    Господь сотворил время непрерывным и равномерным и не стоит его корёжить.
                                                                                      +2
                                                                                      Господь сотворил время непрерывным и равномерным

                                                                                      … но потом пришёл Планк и всё опошлил.
                                                                                        0
                                                                                        Хм. Сильно сказано.

                                                                                        Но, если быть занудным, то опошлил только Эйнштейн в части равномерности. А в части непрерывности ещё никто не сумел, ибо, и у Планка, и у современных струноделателей, два кванта света могут иметь сколь угодно близкие частоты. Так что пока ждём-с настоящих пошляков ;)
                                                                                  0
                                                                                  Вот кстати за реформу исчисления времени ему большое спасибо. Понятно, что на пояса нормально разделить не получится. Как ни распредели, одним обязательно будет плохо зимой, а другим — летом. Но вот отмена летнего времени, это безусловная правильная мера. Устранили анахронизм, унаследованный с XIX века.
                                                                                    0
                                                                                    Этот анахронизм ввели годах в восьмидесятых, и никак не девятнадцатого века.
                                                                                    Пишут, конечно, что еще с 1917 по 1921-й, но тогда время такое было: военный коммунизм, гражданка, интервенция, голод, тиф, бандиты, летнее время…
                                                                                +1
                                                                                Да, а потом тяжело вздыхая, открывает серверную консоль и поправляет за всеми баги…
                                                                            +2
                                                                            Я уже с ног сбился пытаясь подготовиться к проблеме.
                                                                            Умрут сотни старых хороших сайтов на которые я иногда захожу.
                                                                            Я пытаюсь найти решение проблемы.
                                                                            Первая попытка скачать whois базу на всякий случай. Однако она большая. И более-менее приличные (начиная с более 50 миллионов) стоят приличных денег например 500-1000$.
                                                                            Например по запросу в гугле whois databasedownload:
                                                                            www.whoisxmlapi.com/whois-database-download.php
                                                                            iqwhois.com/whois-database-download

                                                                            или например более старые: Часть ищеться по вебархиву
                                                                            pir.org/resources/file-zone-access
                                                                            www.neustar.biz/resources/faqs/domain-name-registry
                                                                            www.nic.coop/agreements.aspx
                                                                            info.info/about/registrant-faqs
                                                                            За те дни которые остались я только в лучшем случае успею найти малую часть нужных адресов.

                                                                            Однако даже если я найду приличную дешевую или бесплатную бд остается вопрос к очень старым сайтам. И на будущее.
                                                                            Будет ли, например хозяин старого сайта заморачиваться с этим. И не закроет ли он вообще его?
                                                                            Открывать все свои десятки тысяч закладок и пытаться сохранить все их в вебархив? Я точно не успею. Есть ли подобное решение быстро сохранить в вебархив?

                                                                            Возможно ли какое-нибудь решение? Например сайт-сервис который после этого дня даст возможность найти ip адрес к заблокированному доменному имени и зайти через него который точно будет работать после DNS Flag Day?
                                                                            Можно ли будет получить ip адрес из домена после этого дня? Я не сисадмин поэтому прошу пояснить мне это.
                                                                            Многие сайты которым много лет и полузаброшены, но них много информации. Например по программированию.
                                                                            И я сомневаюсь что их владельцы которые заходят раз в год читали этот пост.

                                                                            Столько проблемных сайтов что мне кажется что отвалиться половина интернета кроме самых посещаемых сайтов.
                                                                            Это уже который раз за пару этих лет я сбиваюсь с ног(Meltdown… Блокировка telegram..) Я уже боюсь что будет далее.
                                                                            Все старое убивается с невероятной скоростью.

                                                                            Обновлено в процессе написания:
                                                                            Кстати минимальное решение уже найдено: Не качать базу данных а вводить в поиск на том же www.whoisxmlapi.com/whois-database-download.php
                                                                            Однако все же хотелось спросить о 100% возможности найти адрес после DNS Flag Day программными средствами.

                                                                            Таким образом пока что единственный вариант противодействовать DNS Flag Day это использовать базу whois и вставлять ip вручную.

                                                                            Новая идея:
                                                                            Было бы неплохо автоматизировать превращение введенных названий сайтов из списка whois в ip адрес: например создать браузерный плагин для этого и распространить его среди пользователей. Это было бы отличным решением для старых сайтов которые скорее всего никогда не проведут обновление.
                                                                              0
                                                                              Таким образом пока что единственный вариант противодействовать DNS Flag Day это использовать базу whois и вставлять ip вручную.

                                                                              … и тот не сработает для ситуации нескольких сайтов на одном IP. Придётся руками файл hosts править.
                                                                                0
                                                                                В таком случае не поможет ли редактирование hosts через браузерный плагин, например: Соединив этот плагин с whois api. И кнопку перехода.
                                                                                Попытки кажется уже были.
                                                                                Например поиск гугла:programm edit hosts filefirefox plugin

                                                                                Manage Hosts Files From Within Firefox — gHacks Tech News
                                                                                или
                                                                                Hosts file — Google Chrome


                                                                                Вероятность создания плагина для браузера(В автоматическом режиме) для обхода этой проблемы как по мне достаточно высока.
                                                                                0
                                                                                Немного странно, что Вы решили использовать whois.
                                                                                Этот сервис возвращает имя(ена) nserver. Не ip адрес сайта.
                                                                                Ситуация когда whois возвращает еще и ip существует, но это по разряду исключений
                                                                                nserver: ns1.sitename.zone. xx.xx.xx.xx
                                                                                nserver: ns2.sitename.zone. yy.yy.yy.yy

                                                                                  0
                                                                                  Уже нашел более лучшие решения:
                                                                                  Например вот список пар dns-ip: dns-database-download.whoisxmlapi.com
                                                                                  как раз несколько 1.2 миллиона платно и 10 тысяч бесплатно.
                                                                                  Сейчас занят поиском таких вот баз данных dns.
                                                                                  Конечно 1.2 миллиона мало. Но это только 1 из вариантов.
                                                                                  +1

                                                                                  Можете привести пример хотя бы одного сайта, который умрет? По-моему DNS — это функция DNS-провайдеров и хостеров, которые никуда не денутся.

                                                                                    0
                                                                                    Есть организации, которые не доверяют внешним DNS-провайдерам и которые ставят свои DNS-сервера. Или есть госуха, которых обслуживает один DNS-провайдер. В этих случаях могут быть проблемы
                                                                                      +2

                                                                                      Это понятно. Речь не о сайтах компаний с криворукими админами. Им руки распрямят в течение 1-й недели февраля.


                                                                                      Речь о гипотетических полезных неподдерживаемых сайтах, которые, если верить eeeesite, пропадут навсегда.

                                                                                        0
                                                                                        А фиг знает. Я философски на это все смотрю :-) Буду больше читать книжек
                                                                                      0
                                                                                      0
                                                                                        0
                                                                                        Там опечатка — должно быть не FIFTEEN, а FIFTY.
                                                                                          +1
                                                                                          Где-то было про аналитика, который говорил что-то вроде «Ко мне каждый год приходили алармисты и обещали мировую войну в следующем году. Я им не верил. За первую половину XX века я ошибся всего 2 раза.»
                                                                                            +1
                                                                                            Если часы стоя́т, то дважды в сутки они показывают правильное время — надо только вовремя посмотреть на них (Приключения капитана Врунгеля).
                                                                                        0
                                                                                        Возможно ли какое-нибудь решение? Например сайт-сервис который после этого дня даст возможность найти ip адрес к заблокированному доменному имени и зайти через него который точно будет работать после DNS Flag Day?

                                                                                        Поставьте себе свой кэширующий DNS сервер с BIND 9.12.3 и настройте его для разрешения DNS запросов для всех своих компьютеров. Делов-то ;)
                                                                                          –2
                                                                                          Ждем про это дело статью, делов-то…
                                                                                          Особенно про установку на вёнду пожалуйста не забудьте.
                                                                                            +1
                                                                                            Возникнет проблема, будет и статья, и не одна ;) Только сдаётся мне, судя по молчанию того же Яндекс DNS, что многие публичные DNS сервера будут поддерживать устаревшие домены ещё долго, долго.
                                                                                          0
                                                                                          Вспомнил новые звездные войны — «Пусть старое умрет. Дай ему умереть». :)
                                                                                          +2

                                                                                          Что то мне подсказывает, что проблема не проблема. И интернет 1 февраля не заметит разницы по сравнению с предыдущим днем.

                                                                                            0
                                                                                            Интернет может не заметить, но я точно замечу. Я часто читаю материалы многих старых сайтов. Часть информации с годами не меняется.Иногда ценность даже вырастает.

                                                                                            Иногда заходишь на старый сайт который каким-то чудом дожил до современности и сразу становиться светлее на душе. В конце концов старое будет утеряно. :(

                                                                                            Часть людей точно заметит. Если использовать только самые популярные сайты — в таком случае я соглашусь с вами.
                                                                                              +1
                                                                                              Дело же не в том, когда был создан сайт, а какого DNS-провайдера этот сайт использует. Использует Google и все будет пучком
                                                                                                +4
                                                                                                Вопрос не в сайтах, а в DNS-зонах, точнее, в тех, кто их хостит. Если зона даже ооочень старого сайта находится на DNS-серверах какого-нибудь относительно популярного массового DNS-хостинга, который вовремя обновляет свои BINDы (или что у него там) и не балуется сверх меры с настройками файрвола, то этим сайтам абсолютно ничего не угрожает. Если же хозяин сайта хостит домен сам на домашней машине на BIND 8 родом из 90-х, то тогда проблемы само собой будут, но, я думаю, таких все же меньшинство.
                                                                                                0
                                                                                                В массе своей да. Проблемы будут у тех, кто свой DNS использует по принципу «поставил и забыл» или у тех, кто не проверяет актуальность правил МСЭ. Я не думаю, что у многих свой собственный DNS. В массе своей все используют популярных DNS-провайдеров, которые должны будут обновиться. Поэтому это не проблема, а напоминание
                                                                                                0
                                                                                                Дает ошибку «Invalid input or other unexpected error, sorry!»
                                                                                                Возможно сервис перегружен.
                                                                                                  +1
                                                                                                  Без протокола пишите.
                                                                                                  0
                                                                                                  а вот ns2.reg.ru. почти все ок, кроме
                                                                                                  dns=ok edns=ok,nsid edns1=noerror,badversion,soa,nsid edns@512=ok ednsopt=ok,nsid edns1opt=noerror,badversion,soa,nsid do=ok ednsflags=ok,nsid docookie=ok edns512tcp=ok optlist=ok,nsid (ns8.reg.ru)

                                                                                                  а ns1.reg.ru все строки похожие на то, что выше
                                                                                                  Проверяю другим сервисом и вижу, что
                                                                                                  SOA Serial Number Format is Invalid
                                                                                                  ns1.reg.ru reported Serial 1529996645: Suggested serial format year was 1529 which is before 1970.

                                                                                                  Так, что если NS от регистратора, то часть их серверов может быть неправильно настроена.

                                                                                                    +2
                                                                                                    Насколько я помню, требование к serial зоны ровно одно — чтобы он увеличивался при каждом изменении ее содержимого. Да, существуют рекомендации по построению serial в виде YYYYMMDDNN, но это просто вопрос удобства в плане читабельности, и не обязательно для корректного функционирования DNS. Это скорее вопрос к сервису-проверялке, почему у него такие требования странные. Serial от reg.ru сам по себе вполне валиден.
                                                                                                      0
                                                                                                      Это было как пример к чему придирается.
                                                                                                    0
                                                                                                    Кто еще не успел, закупайтесь быстрее. Время не ждет.

                                                                                                    aliexpress.com — Fatal error detected
                                                                                                      –2
                                                                                                      Привет всем.Я новичёк и могли вы бы мне порекемендовать что изучать с начала? Заранее спасибо(мне 12)
                                                                                                        +1
                                                                                                        В контексте этой статьи? Полагаю — уровни модели OSI, в первую очередь, чтобы понимать, на чём всё это вообще основано. Потом, вероятно, есть смысл заняться практикой — ну, хотя бы и свою реализацию какого-нибудь протокола написать (пользуясь предоставленными системой нижележащими реализациями), HTTP поверх TCP/IP, к примеру.
                                                                                                          +1
                                                                                                          В 12 модель OSI многовато.
                                                                                                          Зато основы computer science в самый раз.
                                                                                                          Из своей средней школы я помню олимпиадные задачки на комбинаторику, пересечения прямых, перевод систем счисления, рекурсию итд.
                                                                                                          Вот они здорово помогли в свое время набрать базу, и далее двигаться самостоятельно.
                                                                                                          Ботай математику и какой-нибудь питон\паскаль\на чем там сейчас учат. Сначала процедурное программирование, потом ООП, потыкайся немного в СУБД.
                                                                                                          И самое главное — учи английский язык, потом вырастешь и поймешь как это было важно. Читай stackoverflow, учись задавать вопросы хотя бы с переводчиком. Если всё будешь делать правильно — в 21-22 года уже будет отличная работа и куча перспектив.

                                                                                                            +2

                                                                                                            Я в 12 анимировал члены в поверпаите.

                                                                                                            0
                                                                                                            Поддержка резолвинга для NS без поддержки EDNS будет отключена на публичных резолверах навроде 8.8.8.8 и 1.1.1.1 (полный список есть на dnsflagday.net). Выглядит довольно странно, ибо в результате этого резолверы точно потеряют часть клиентов — «на восьмерках не резолвит, а вот у 1.2.3.4 — резолвит!». Мне понятно стремление к лучшему, но непонятен метод достижения через «давайте сломаем, а они как-нибудь с горящей жопой починят».

                                                                                                            Ну и уж тем более все заинтересованные в использовании старых NS могут поставить себе резолвер, и резолвить как угодно и с поддержкой чего угодно.
                                                                                                              0
                                                                                                              EDNS в 2013-м приняли. Учитывая стремление к повальной безопасности в Интернет и внедрению DNSSEC, DNS cookies и т.п., вполне понятно, что должно было наступить время, когда за соответствие стандарту возьмутся всерьез. Вот и взялись.
                                                                                                                0
                                                                                                                Я так думал, что самый распространенный сервер DNS это BIND. На dnsflagday.net написано, что EDNS поддерживается начиная с «BIND 9.13.3 (development) and 9.14.0 (production)». При этом на isc.org последний stable это 9.12. И как быть? Ставить нестабильную версию?
                                                                                                                  0
                                                                                                                  9.13 до конца января должна быть выпущена
                                                                                                                    0
                                                                                                                    Там написано не так, с этих версий они перестают работать навстречу с BIND ранних версий до 9.0.0 и 8.3.0.

                                                                                                                    А для более менее «спокойной жизни» требуется проверить, что на ваших DNS серверах установлен BIND версий 9.0.0 и 8.3.0 или выше.
                                                                                                                      +1
                                                                                                                      EDNS поддерживается с каких-то очень старых версий. Указанные версии перестанут поддерживать старый протокол.
                                                                                                                        0
                                                                                                                        У меня вообще bind9/stable,stable,now 1:9.10.3.dfsg.P4-12.3+deb9u4 amd64 [installed]
                                                                                                                        На dnsflagday.net пишет всё ок.
                                                                                                                      0

                                                                                                                      Не знаю как насчёт Cloudflare, а для Google это никогда не было проблемой. Захотят -завтра совсем отключат. Большинство сервисов (не связанных непосредственно с рекламной деятельностью) не приносят прибыли компании. Они говорят что это just for fun, попытка сделать мир чуточку лучше.

                                                                                                                        0
                                                                                                                        Ну да, корпорация добра. Сбор информации о посещаемых сайтах непосредственно связан с рекламной деятельностью.
                                                                                                                      0
                                                                                                                      Спасибо, CloudFlare!!! :)
                                                                                                                        0
                                                                                                                        Подскажите, а за какое время до 1 февраля стоит трясти своего хостинг провайдера, чтоб все работало, как надо?
                                                                                                                          +1
                                                                                                                          А у вашего провайдера проблемы? Если нет, то и не надо его трясти. А если проблемы, то трясите уже сейчас или сами поменяйте себе DNS на непровайдерские
                                                                                                                          0
                                                                                                                          а что там с моим любимым хабом?
                                                                                                                            +2
                                                                                                                            Одно слово журналисты.
                                                                                                                            Вот если просто бы написали:
                                                                                                                            Вниманию системных администраторов. В новых версиях Bind, Knot Resolver, PowerDNS и Unbound, выпущенных после 1.02.2019 ответы NS серверов, которые не соответствуют стандарту EDNS будут отбрасываться как не достоверные.

                                                                                                                            Что реально может сломаться первого февраля, если выльют релиз ?
                                                                                                                            Ваш роутер обновит прошивку. Возможно, но я не знаю моделей, которые
                                                                                                                            прошивки обновляют сами. Как лечить? Указать другой DNS вместо 192.168.x.1

                                                                                                                            У вашего провайдера? И прям одновременно у всех публичных днс?

                                                                                                                            Спокойнее. Просто примите инфу к сведению.

                                                                                                                            Если где-то что-то отвалиться, то лечиться downgradом версий.
                                                                                                                            Акция или сдуется или народ просто перестанет обновлять bind и т.п.

                                                                                                                              0
                                                                                                                              На сайте dnsflagday.net есть фраза «On or around Feb 1st, 2019… Also public DNS providers listed below will disable workarounds», если это действительно так, то ввиду широкой распространённости пользовательских настроек типа: 1.1.1.1 или 77.88.8.8, работа доменов с неправильными DNS серверами будет затруднена или заблокирована.

                                                                                                                              Однако, вроде как, на конференциях выступали только производители ПО, а откуда следует, что публичные DNS сервера поддержат 1 февраля не очень понятно.
                                                                                                                                0
                                                                                                                                Google в списке тех, кто поддерживает эту инициативу. Cisco с Umbrella. CloudFlare. Ну а дальше остается только ждать :-)
                                                                                                                                  0
                                                                                                                                  Их кое-кто внёс список. А что они сами на сей счёт думают они высказали ли?
                                                                                                                                    0
                                                                                                                                    В смысле их кое-кто внес в список? Бех их согласия?
                                                                                                                                0
                                                                                                                                Zuxel умеют автообновление. А ваш коммент в целом — это «авось не сразу сдохнет».

                                                                                                                                Для большой компании (а так же для хорошего админа!) пол часа простоя — это недопустимо, а значит надо решать такие проблемы ДО их наступления.
                                                                                                                                  0
                                                                                                                                  по пробую еще раз сформулировать свою мысль
                                                                                                                                  Здесь в комментариях проскочили приготовления к армагеддону интернета.
                                                                                                                                  Срочно выкачивайте whois. Хотя информация представленная в нем
                                                                                                                                  носит СПРАВОЧНЫЙ характер и при ресолве домена в ип не используется.
                                                                                                                                  Вообще whois протокол имхо самый не стандартизированный. Многие зоны
                                                                                                                                  даже не поддерживают запрос по 43 порту. Зачем выкачивать, то что не меняется?

                                                                                                                                  Я бы описал, то что предстоит, как зомби апокалипсис НАОБОРОТ.
                                                                                                                                  В течении некоторого периода времени кривонастроенные сайты
                                                                                                                                  выпадут из индекса поисковиков.

                                                                                                                                  Если мы знаем про такого зомби или нашли ссылку на него,
                                                                                                                                  то придется освоить несколько заклинаний некроманта.

                                                                                                                                  whois, nslookup, etc/hosts

                                                                                                                                  А живые проекты со временем исправятся.

                                                                                                                                    0
                                                                                                                                    Ну почему же армагеддону.
                                                                                                                                    Человек решил, что хочет иметь доступ и к сайтам, чьи владельцы не озаботятся их состоянием.
                                                                                                                                    Как я понял, если эта ситуация наступит — получить IP из имени для такого сайта будет гемморойно.
                                                                                                                                    Человек решил решить вопрос кардинально — слить всю базу, что бы не составлять список всех сайтов, которые ему могут понадобиться.

                                                                                                                                0
                                                                                                                                Алексей, я так понял, dnsflagday.net отражает точку зрения производителей ПО о производственых планах. А были ли публичные высказывания собственно самих Google DNS, Яндекс DNS и др.? Собираются ли они вообще обновляться и когда?

                                                                                                                                Неужто aliexpress перестанет быть доступным, скажем, через Google DNS и придётся переключаться, скажем, на Яндекс DNS или наоборот?
                                                                                                                                  0
                                                                                                                                  Почему производителей? Там в списке поддерживающих Google, Cisco, CloudFlare. Яндекс поддерживает EDNS.
                                                                                                                                    0
                                                                                                                                    Все доклады на которые есть ссылки — от производителей, а ссылок на доклады или публичные выступления Google или Яндекс в части планов и порядка перехода на новые опасные версии нет же.

                                                                                                                                    Яндекс DNS, конечно же давно поддерживает EDNS, но, как и все остальные, отлично работает с традиционными DNS серверами. Мне так кажется, что если бы они собирались переходить на эти новые версии, то они бы публично б написали бы: семейные сервера 77.88.8.7/3 перестают обрабатывать устаревшие домены в таком-то году, безопасные сервера 77.88.8.88/2 в таком-то году, базовые сервера 77.88.8.8/1 в этаком году. При возникновении проблем с теми или иными сайтами, пользователи могут изменить используемые сервера Яндекс DNS.

                                                                                                                                    Но ведь этого нет же? Похоже, Яндекс DNS собирается работать со старыми DNS серверами ещё достаточно долго. Да и насчёт Google тоже как-то не верится, что они будут стрелять себе в ногу.

                                                                                                                                    P.S.
                                                                                                                                    «On or around Feb 1st, 2019» это ж может быть и к 2038 ;)
                                                                                                                                      0
                                                                                                                                      Google в списке тех, кто поддерживает инициативу и перейдет
                                                                                                                                        0
                                                                                                                                        Дык, а кто её не поддерживает? Дело доброе, но как Google понимает слово «around»? Год, два, пятилетка, 2038 год? Какие планы перехода конкретно озвучил сам Google?
                                                                                                                                          0
                                                                                                                                          Да фиг знает :-)
                                                                                                                                  0
                                                                                                                                  1.1.1.1 — Cloudflare & APNIC DNS присоединайтесь

                                                                                                                                  Cloudflare управляет одной из самых больших и быстрых сетей в мире. APNIC — некоммерческая организация, управляющая распределением IP-адресов в регионах Азиатско-Тихоокеанского региона и Океании.
                                                                                                                                    0
                                                                                                                                    А оно гарантирует совместимость с традиционными DNS серверами? И в течении какого срока? А то их на dnsflagday.net тоже внесли в список экстремалов экспериментаторов.
                                                                                                                                    0
                                                                                                                                    Антиресно, быть может, кто-то уже создал специальный тестовый домен, типа нет-EDNS.рф с BIND 8.2 или ниже. Просто, что б можно было мониторить будут ли его распознавать те или иные публичные DNS сервера?
                                                                                                                                      0
                                                                                                                                      ПриватБанк - Minor problems detected!
                                                                                                                                      Киевстар - Serious problem detected!
                                                                                                                                      СБУ - Minor problems detected!


                                                                                                                                      не удивлен…

                                                                                                                                        0

                                                                                                                                        Ой, как внезапно. Про ДНС от регистратора домена говорит что slow, а про свежеподнятый bind — fatal error. Намечается веселье...

                                                                                                                                          0
                                                                                                                                          Так текущая стабильная версия BIND еще не поддерживает
                                                                                                                                            0

                                                                                                                                            Поддерживает, не вводите в заблуждение. Версии которые указаны на сайте перестанут общаться с пре-EDNS серверами.

                                                                                                                                              0
                                                                                                                                              Да, моя ошибка. Спасибо
                                                                                                                                          0
                                                                                                                                          Обновил bind на debian9, проходит валидацию, но любопытно, часть доменов у меня на dns от reg.ru и там пишет Minor problems detected!
                                                                                                                                            +2
                                                                                                                                            WS2012R2 в качестве DNS-сервера: minor problems. Так какой такой байнд на нем обновить?
                                                                                                                                              0
                                                                                                                                              bmw.de — Serious problem detected!
                                                                                                                                              bmw.ru — All ok!
                                                                                                                                              Может написать немцам имейл?
                                                                                                                                                0
                                                                                                                                                aliexpress.com: Fatal error detected!
                                                                                                                                                  0
                                                                                                                                                  Ребята с ретейла, у меня для вас 2 новости, одна хорошая, другая плохая)
                                                                                                                                                  1. 1-ofd.ru: All Ok!
                                                                                                                                                  2. egais.ru: Serious problem detected! (Пора брать отпуск)
                                                                                                                                                    0
                                                                                                                                                    Выдыхаем
                                                                                                                                                    gosuslugi.ru: All Ok!

                                                                                                                                                    А то 1 февраля прием заявлений в школы, вот это было бы грустно если бы сайт не работал. Но похоже читают Хабр.
                                                                                                                                                      0
                                                                                                                                                      asv.org.ru Serious problem detected!
                                                                                                                                                      cbr.ru Serious problem detected!
                                                                                                                                                      council.gov.ru Serious problem detected!
                                                                                                                                                      customs.ru Fatal error detected!
                                                                                                                                                      duma.gov.ru Serious problem detected!
                                                                                                                                                      fish.gov.ru Serious problem detected!
                                                                                                                                                      fsb.ru Serious problem detected!
                                                                                                                                                      mcx.ru Fatal error detected!
                                                                                                                                                      minenergo.gov.ru Serious problem detected!
                                                                                                                                                      minfin.ru Serious problem detected!
                                                                                                                                                      minobrnauki.gov.ru Fatal error detected!
                                                                                                                                                      mnr.gov.ru Fatal error detected!
                                                                                                                                                      orfi.ru Serious problem detected!
                                                                                                                                                      pfrf.ru Fatal error detected!
                                                                                                                                                      tpprf.ru Serious problem detected!

                                                                                                                                                      Еще некоторые *.gov.ru почему-то не получается проверить через этот сайт:

                                                                                                                                                      audit.gov.ru no result
                                                                                                                                                      doc.rzd.ru no result
                                                                                                                                                      fl.customs.ru no result
                                                                                                                                                      genproc.gov.ru no result

                                                                                                                                                      и т.п.
                                                                                                                                                        0
                                                                                                                                                        А если вернуться к самым первым строчкам сообщения Алексея, то один из вариантов решения проблемы, для конкретной компании — это, например, триальный тест Umbrella с конца января.
                                                                                                                                                        ;)
                                                                                                                                                          0
                                                                                                                                                          Опа, steam — Serious problem detected!
                                                                                                                                                            0
                                                                                                                                                            Хостеры!

                                                                                                                                                            reg.ru: Minor problems detected!
                                                                                                                                                            sweb.ru: All Ok!
                                                                                                                                                              0
                                                                                                                                                              Мои сайты выжили. Домены на RU Center, а сами сайты на sprinthost.
                                                                                                                                                                0
                                                                                                                                                                Рано еще :-) 1-е февраля — это дата, с которой перестанут поддерживать старые версии протокола. Пока новый софт накатят еще на сервера…
                                                                                                                                                                  0
                                                                                                                                                                  Ну, наверное, к 2038 точно накатят, что б дважды не вставать. Или кто-то из Яндекс/Google/1.1.1.1 конкретные планы/сроки озвучил?

                                                                                                                                                                  А ISC пока ж даже новой версии bind ещё и не выпустил ж ;)

                                                                                                                                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                                                                                              Самое читаемое