Доменные имена *

27 февраля 2020 года бесплатный центр сертификации Let's Encrypt выдал миллиардный сертификат.

В праздничном пресс-релизе представители проекта вспоминают, что предыдущий юбилей в 100 млн выданных сертификатов отмечали в июне 2017 года. Тогда доля HTTPS-трафика в интернете составляла 58% (в США — 64%). За два с половиной года показатели существенно выросли: «Сегодня 81% загружаемых страниц по всему миру используют HTTPS, а в Соединенных Штатах мы находимся на уровне 91%! — радуются ребята из проекта. — Невероятное достижение. Это гораздо более высокий уровень конфиденциальности и безопасности для всех».

Let's Encrypt сыграл очень важную роль в том, чтобы сертификаты HTTPS стали утилитарным стандартом, а надёжное шифрование трафика — совершенной нормой в интернете.

Схема утечки данных через Web Proxy Auto-Discovery (WPAD) при коллизии имён (в данном случае коллизия внутреннего домена с названием одной из новых gTLD, но суть та же). Источник: исследование Мичиганского университета, 2016

Майк О'Коннор, один из старейших инвесторов в доменные имена, выставляет на продажу самый опасный и спорный лот своей коллекции: домен corp.com за $1,7 млн. В 1994 году О'Коннор купил множество простых доменных имен, такие как grill.com, place.com, pub.com и другие. В их числе был и corp.com, который Майк хранил на протяжении 26 лет. Инвестору уже исполнилось 70 лет и он решил монетизировать свои давние вложения.

Вся проблема в том, что corp.com — потенциально опасен как минимум для 375 000 корпоративных компьютеров из-за безалаберной настройки Active Directory во времена построения корпоративных интранетов в начале нулевых на базе Windows Server 2000, когда внутренний корень указывался просто как «corp». До начала 2010-х это не было проблемой, но с ростом числа ноутбуков в деловой среде, все больше и больше сотрудников стали выносить свои рабочие компьютеры за пределы корпоративной сети. Особенности реализации Active Directory приводят к тому, что даже без прямого запроса пользователя к //corp, ряд приложений (например, почта), стучатся по знакомому адресу самостоятельно. Но в случае внешнего подключения к сети в условной кафешке за углом это приводит к тому, что поток данных и запросов льется на corp.com.

Сейчас О'Коннор очень надеется, что домен выкупит сама Microsoft и в лучших традициях Google сгноит его где-нибудь в темном и недоступном для посторонних месте проблема с такой фундаментальной уязвимостью Windows-сетей будет решена.

В 1995 году Стивен Боланд сидел в своём офисе правительственного учреждения, и работал над макроэкономическим планом для тихоокеанского малого государства Тувалу, когда внезапно ожил стоявший рядом факс. На термобумаге появилось сообщение, которое впоследствии можно будет приравнять к выигрышному лотерейному билету.

В сообщении было указано, что Тувалу присвоили домен верхнего уровня – последовательность символов в конце URL, типа .com или .ru – для всех его интернет-адресов. Доменом для Тувалу стала комбинация ".tv", которая во всём мире является метонимом для телевидения. В то время важность этого назначения не была ясна ни Боланду, ни кому-то ещё в их офисе. У них были более важные проблемы.

«Мы сидели кружком, и рассматривали этот факс, — сказал Боланд. – Люди обсуждали символы „точка ТВ“, и то, что вообще такое этот ''интернет''».

Приветствую всех присутствующих на первой части нашей конференции. Сегодня я хочу поговорить о реальной стоимости дешёвых доменных имён, но вначале скажу несколько слов о компании PartnerGate.

Мы базируемся в Мюнхене и являемся регистраторами доменных имён уже более 16 лет. В настоящее время мы управляем более чем 800 тысячами доменов наших клиентов. У нас работает около 20 сотрудников.

Итак, цены на домены. Куда бы вы не обратились в интернете, вы всегда найдёте сайт с самыми низкими ценами на доменные имена. Когда мы разговариваем с клиентами, главным вопросом для них является лучшая из всех предложенных цен.

Всем привет! Сегодня я хочу рассказать историю о РКН, чужом сайте с фильмами и моем сайте, который не имеет к нему никакого отношения.

У меня есть сайт для поиска виртуальных серверов со стабильной посещаемостью. Иногда бывают всплески количества посетителей из-за того, что кто-нибудь выкладывает ссылку на сайт на каком-либо популярном ресурсе, но такое бывает довольно редко, и почти всегда видно, откуда приходят посетители. Незадолго до нового года случилась именно такая ситуация: дневная аудитория сайта выросла почти в 2 раза, и я стал смотреть, откуда приходят посетители. Чаще всего источником таких всплесков служат технические или околотехнические ресурсы, но в этом случае все было по-другому: посетители попадали на сайт с разных страниц пиратского сайта с фильмами и оказывались на 404 странице моего сайта.

Корпорация ICANN прислушалась к протестам общественности — и приостановила продажу доменной зоны .ORG, запросив дополнительную информацию о сделке, включая информацию о владельцах сомнительной фирмы Ethos Capital.

Напомним, что в ноябре 2019 года закрытое акционерное общество Ethos Capital, специально созданное для этих целей, договорилось о покупке некоммерческой организации The Internet Society (ISOC), в том числе оператора Public Interest Registry (PIR), управляющего реестром .ORG.

О сделке было объявлено 13 ноября 2019 года, а закрыть её планировалось в I кв. 2020 года. Таким образом, реестр из 10 миллионов доменных имен. org и управление финансовым потоками решили отдать коммерческой фирме. Что самое интересное, за пять месяцев до этого ISOC с разрешения ICANN сняла любые ограничения на максимальную цену доменов .ORG, а в руководстве Ethos Capital нашлись бывшие влиятельные чиновники ICANN.

Но ICANN имеет право заблокировать передачу контракта на обслуживание .ORG. Это предусмотрено разделом 7.5 соглашения о реестре между Public Interest Registry и ICANN.

«Почему бы не сделать очередной сборник скидок к Черной пятнице в сфере хостинга», — подумал я… и сделал. Подборки прошлых лет тут и тут.



Host4.biz — скидка 90% на виртуальный или VIP-хостинг, скидка 50% на Linux VPS.
Hyperhost.ua — скидка 90% на виртуальный хостинг, 30% на виртуальные серверы.
Ntup.net — скидка 90% на виртуальный и DNS-хостинг, 50% на VPS/VDS и FTP-хостинг, 30% на выделенные серверы.
Itldc.com — скидка 80% на виртуальный хостинг, до 60% на VPS/VDS, 40% на выделенные серверы.
X5x.ru — скидка 60% на виртуальный хостинг, 30% на VPS/VDS.
Friendhosting.net — скидка 55% на VPS/VDS.
Bacloud.com — скидка 50% на OpenVZ VPS, 33% на виртуальный хостинг, 20% на выделенные серверы, 18% на KVM VPS.
Firstvds.ru — скидка до 50% на VPS/VDS.
Inferno.name — скидка до 50% на VPS/VDS, до 30% на выделенные серверы.
Nic.ru — скидка 50% на хостинг, почту для домена и DNS-хостинг, 25% на любые домены и SSL-сертификаты.
Fastfox.pro — скидка 40% на виртуальный хостинг, 35% на VPS/VDS.
Reg.ru — скидка 40% на виртуальный хостинг, снижение цен на домены, SSL-сертификаты, конструктор сайтов, 300 рублей в подарок для пользователей облачных серверов.
Renter.ru — скидка до 40% на выделенные серверы.
Selectel.ru — скидка до 35% на выделенные серверы.
E-planet.ru — скидка 30% на виртуальный хостинг и VPS/VDS.
Firstssl.ru — скидка 30% на SSL-сертификаты.
Hostens.com — скидка 30% на виртуальный хостинг.
Serv-tech.ru — скидка 30% на виртуальный хостинг, 20% на VPS/VDS, 15% на выделенные серверы.
Hostpro.ua — скидка 25% на домены, до 4 месяцев хостинга или VPS в подарок.
Webhost1.ru — скидка 15% на хостинг и виртуальные серверы.

Американская некоммерческая организация The Internet Society (ISOC) продаёт свои активы, включая оператора Public Interest Registry (PIR), который управляет доменной зоной .org. Созданная в «общественных интересах» для общественных организаций, доменная зона переходит в руки коммерческой фирмы Ethos Capital за неизвестную сумму. Сделку планируют закрыть в I кв. 2020 года (см. пресс-релиз).

Таким образом, реестр из 10 миллионов доменных имен. org и управление финансовым потоками отдают коммерческой компании. Интересно, что пять месяцев назад ICANN бессрочно сняла любые ограничения на максимальные цены доменов .org. В поддержку своего решения ICANN привела два комментария от общественности. При этом во время общественного обсуждения организация получила 3315 комментариев, из которых 3252 были против (98,2%).

По мнению критиков, со стороны ISOC это была предпродажная подготовка, а организацию ICANN ввели в заблуждение (или она участвовала в сговоре). Судя по всему, сейчас подозрения подтвердились.

8chan (новое название 8kun) — популярный анонимный форум с возможностью пользователей создавать собственные тематические разделы сайта и самостоятельно их администрировать. Известен своей политикой минимального вмешательства администрации в модерирование контента, из-за чего стал популярен у разной сомнительной публики.

После того как на сайте оставили свои послания террористы-одиночки, на форум начались гонения — их стали выгонять со всех хостингов, регистраторы разделегировали доменные имена и т.д.

С правовой точки зрения ситуация с 8chan достаточно спорная, так как администрация декларирует, что следует законам США и удаляет запрещённый контент с сайта, а также выполняет запросы правоохранительных органов. Претензии к 8chan носят скорее морально-этический характер: место имеет дурную репутацию.

2 ноября 2019 к нам на хостинг vdsina.ru пришёл 8chan. Это вызвало оживлённые споры внутри нашего коллектива из-за чего мы решили опубликовать этот пост. В статье рассказывается история гонений на 8chan и почему мы в итоге решили предоставить хостинг проекту 8chan (который всё равно закрылся).

Низкая задержка DNS — ключевой фактор для быстрой работы в интернете. Чтобы её минимизировать, важно тщательно подобрать DNS-серверы и анонимные рилеи. Но первым делом следует избавиться от бесполезных запросов.

Именно поэтому DNS изначально создавался как сильно кэшируемый протокол. Администраторы зон устанавливают время жизни (TTL) для отдельных записей, а резолверы используют эту информацию при хранении записей в памяти, чтобы избежать ненужного трафика.

Эффективно ли кэширование? Пару лет назад моё небольшое исследование показало, что оно не идеально. Взглянем на нынешнее положение дел.

Пост о том, как привязанный к аккаунту сервиса Яндекс.Почта телефон, помог угнать домен созданного мной сетевого издания "Банки Сегодня". Отмечу, что в это издание я вложил все свои накопленные деньги, душу и 3 года кропотливой работы.

Распределение адресного пространства IPv4 (слева) и IPv6 (справа), апрель 2018 года

На прошлой неделе немало шума наделала статья «К концу сентября в России закончатся IP-адреса» в РБК (123 000 просмотров), которую затем подхватили другие СМИ.

На самом деле никаких причин для паники нет. Вкратце:

1. Речь только об адресах IPv4 (адресов IPv6 вполне достаточно, см. правую часть КДПВ).
   
2. Дефицит адресов IPv4 у RIPE NCC не только в России, а во всём регионе регистратуры.
   
3. Все давно привыкли жить в условиях дефицита.
   
4. В случае крайней необходимости адреса IPv4 можно купить на свободном рынке.
   
5. Обычные пользователи не заметят разницы, это проблема провайдеров.

Далее по пунктам.

26 июля 2019 года компания Google выступила с предложением уменьшить максимальный срок действия серверных сертификатов SSL/TLS с нынешних 825 дней до 397 дней (около 13 месяцев), то есть примерно вдвое. Google считает, что только полная автоматизация действий с сертификатами позволит избавиться от нынешних проблем с безопасностью, которые часто объясняются человеческим фактором. Поэтому в идеале нужно стремиться к автоматизированной выдаче короткоживущих сертификатов.

Вопрос поставили на голосование в организации CA/Browser Forum (CABF), которая устанавливает требования к SSL/TLS-сертификатам, в том числе к максимальному сроку действия.

И вот 10 сентября объявлены результаты: члены консорциума проголосовали против предложения.

Затянуть с подписанием — обычное дело для любой крупной компании. Исключением не стал договор между Томом Хантером и одним сетевым зоомагазином на основательный пентестинг. Предстояло проверить и сайт, и внутреннюю сеть, и даже рабочий Wi-Fi.

Неудивительно, что руки зачесались еще до того, как были улажены все формальности. Ну просто посканировать сайт на всякий случай, вряд ли такой известный магазин, как «Собака Баскервилевых», допустит промахи уже здесь. Спустя пару дней Тому все-таки доставили подписанный оригинал договора — в это время за третьей кружкой кофе Том из внутренней CMS с интересом оценивал состояние складов…

Источник: Ehsan Taebloo

ICANN разрешила регистратору Public Interest Registry, отвечающему за доменную зону .org, самостоятельно регулировать цены на домены. Обсуждаем мнения регистраторов, IT-компаний и некоммерческих организаций, которые были высказаны за последнее время.

Также «под раздачу» попали .info и .biz.

/ фото David Goehring CC BY

ICANN меняет правила игры

ICANN изменили условия договора с регистратором доменных имен Public Interest Registry (PIR), ответственным за .org. Ранее ему запрещалось назначать базовую цену за домен выше 8,25 долларов (пункт 7.3). Раз в год эту ставку можно было увеличивать, но не более, чем на 10%. Подобные ограничения действуют на все крупные доменные зоны, в том числе .com, за который отвечает Verisign. Такой подход и конкуренция между регистраторами помогают сдерживать рост цен.

В начале этого года в ICANN решили предоставить PIR возможность устанавливать свои цены на домены .org. В конце июня это решение вступило в силу. Причем изменения коснулись и двух других доменов верхнего уровня — .info и .biz. Их контролируют операторы Afilias и Neustar.

TL;DR: начиная с февраля 2020 года, DNS-серверы, не поддерживающие обработку DNS-запросов как по UDP, так и по TCP, могут перестать работать.

Это продолжение поста «Что-что случится 1 февраля?» от 24 января 2019 г. Читателю рекомендуется бегло ознакомиться с первой частью истории, дабы понимать контекст.

Бангкок, вообще, место на любителя. Конечно, там тепло, дёшево, и кухня интересная, и визы половине населения Земли туда не нужно получать заблаговременно, однако к запахам надо ещё привыкнуть, а городские улицы заставляют в лучшем случае вспомнить классику киберпанка.

В частности, пейзаж слева наблюдается недалеко от центра столицы Таиланда, через одну улицу от отеля Shangri-La, где 12-13 мая прошло 30-е собрание организации DNS-OARC, некоммерческой организации, занимающейся вопросами безопасности, стабильности и развития системы доменных имён DNS.

Слайды из программы DNS-OARC 30 в принципе рекомендуются к изучению всем, кого интересует работа DNS, однако самое, пожалуй, интересное — это то, чего в слайдах не было. А именно, 45-минутный круглый стол с обсуждением результатов DNS Flag Day, случившегося 1 февраля 2019 года.

А самое интересное в круглом столе — решение, что практика DNS Flag Day будет продолжена.

Региональные интернет-регистратуры и зоны их обслуживания. Описанное мошенничество произошло в зоне ARIN

В ранние дни Интернета адреса IPv4 раздавали всем желающим большими подсетями. Но сегодня компании выстраиваются в очередь к региональному регистратору, чтобы раздобыть хоть небольшое адресное пространство. На чёрном рынке один IP стоит от $13 до $25, поэтому регистраторы борются с массой теневых брокеров, бизнес которых простой: получить новые блоки IP-адресов под ложным предлогом, а затем перепродать спамерам. В мае 2019 года региональному регистратору ARIN удалось отобрать IP-адреса у теневого брокера, которому предъявлено уголовное обвинение.

В реестр вернули около 735 000 IP-адресов. Это первый случай, когда у мошенников отбирают IP-адреса после судебного разбирательства.

Чуть менее года назад началась увлекательная история, когда REG.RU в одностороннем порядке расторг партнерский договор с Beget. Мне стало интересно, как обстоят дела с данным вопросом, и я решил поинтересоваться ходом разбирательств у непосредственных участников, так как заявления каждой из сторон были достаточно голословными. Вопросы я задал обеим сторонам. REG.RU ограничились ответом, содержащим общие фразы, а вот Beget в лице redfenix согласились объяснить свою позицию и предоставить все документы.

Встала однажды передо мной задача, отдать одному из клиентов право на редактирование PTR-записей отданной ему подсети /28. Автоматизации для редактирования настроек BIND извне у меня нет. Поэтому я решил пойти другим путем — делегировать клиенту кусок PTR-зоны подсети /24.

Казалось бы — что может быть проще? Просто нужным образом прописываем подсеть и направляем на нужный NS как это делается с поддоменом. Но нет. Не так все просто (хотя на деле вообще примитивно, но интуиция не поможет ), поэтому я и пишу эту статью.

Кто захочет сам разобраться, тот может почитать RFC
Кто хочет готового решения, добро пожаловать под кат.