Доменные имена *

Встала однажды передо мной задача, отдать одному из клиентов право на редактирование PTR-записей отданной ему подсети /28. Автоматизации для редактирования настроек BIND извне у меня нет. Поэтому я решил пойти другим путем — делегировать клиенту кусок PTR-зоны подсети /24.

Казалось бы — что может быть проще? Просто нужным образом прописываем подсеть и направляем на нужный NS как это делается с поддоменом. Но нет. Не так все просто (хотя на деле вообще примитивно, но интуиция не поможет ), поэтому я и пишу эту статью.

Кто захочет сам разобраться, тот может почитать RFC
Кто хочет готового решения, добро пожаловать под кат.

Ещё в 2015-м Google вызвал недовольство некоторых разработчиков, заполучив доменную зону .dev в своё единоличное пользование. Теперь ситуация меняется, и возможность купить домен получает любой.

Ну, прямо сейчас не совсем любой: с 19 по 28 февраля действует Early Access Program с дополнительной платой за регистрацию домена, доходящей до $11 000. Но с каждым днём сумма будет снижаться, а с 28 февраля останется только стандартная оплата в $12/год, так что это будет подходить не только для крупных компаний, но и для маленьких личных бложиков о разработке.

Ряд компаний уже активен в новой зоне (и это даже не просто означает «поставили редирект»). Вот несколько примеров:

При поиске свободного имена в зоне .com меня неприятно удивило количество уже занятых, но неиспользуемых доменов. Судя по всему, зарегистрированы все произносимые комбинации букв на всех основных языках мира. И даже непроизносимые короткие комбинации. То ли существует большой рынок доменов, то ли мне просто на ум приходят те же имена, что и всем остальным? Посмотрим на голую статистику…

В настоящее время зарегистрировано 137 миллионов доменных имён .com. По данным Verisign, в «активной зоне» по состоянию на 27.01.2019 года есть 137 756 106 доменов .com. Перед этим я сверил корректность цифры с файлом DNS-зоны.

Из них используется около трети (предприятия, личные веб-сайты, электронная почта и т. д.). Ещё треть, по-видимому, не используется, а последняя треть используется в различных спекулятивных целях.

Не то что бы, конечно, это было первое обсуждение вопроса на Хабре. Однако до сего момента в основном обсуждались последствия, в то время как, на наш взгляд, куда интереснее первопричины.

Итак, на 1 февраля запланирован DNS Flag Day. Эффекты этого события будут наступать постепенно, однако всё же быстрее, чем некоторые компании сумеют к нему адаптироваться.

Что это такое? Говоря простым языком, это манифест основных мировых разработчиков DNS-серверов: компаний CZ.NIC, ISC, NLnet Labs и PowerDNS.

Производители программного обеспечения DNS уже давно столкнулись с проблемой: развитие системы доменных имён, добавление в неё новых функций, требующихся клиентам, решение вопросов безопасности — все эти процессы радикально замедляются ввиду кооперативной структуры системы DNS и необходимости поддерживать архаичные серверы, реализующие устаревшие версии протоколов (и даже это зачастую делающие с ошибками).

Cisco является одним из крупнейших DNS-провайдеров в мире, предоставляя услугу безопасного DNS на базе Cisco Umbrella (ранее OpenDNS), но речь сегодня пойдет не о ней и даже не о безопасности. Дело в том, что 1-го февраля наступит так называемый DNS Flag Day, после которого ваш сайт может быть недоступен пользователям в Интернет.

Немногие знают, что с начала 2018 года мы стали полноценно вести деятельность в качестве регистратора доменов в зонах .RU/.РФ.

Раньше мы, как и многие хостинг-провайдеры, регистрировали домены в статусе реселлера одного из крупных регистраторов. Плюсы есть, но и минусы очевидны: многие процедуры требовали ручных изменений со стороны специалиста поддержки в кабинете регистратора.

В один момент мы поняли, что с улучшением сервиса не можем оставить и этот момент в стороне. Мы считаем, что работа с доменами должна быть такой же удобной, как и работа с сайтами на хостинге.

В течение 20 лет или около того идёт дискуссия, использовать ли www в каноническом имени хоста (CNAME) вашего веб-сайта. Так что, использовать или нет?



Хотя многие взаимозаменяемо используют термины «доменное имя» и «имя хоста», между ними есть разница, и дело не только в семантике. Я немного упрощу это описание, чтобы сконцентрироваться на сути.

Для вас как IT-администратора вашим доменом будет ваша сеть. Разумно дать домену название. Для этого приспособлена система DNS, поэтому вы регистрируете доменное имя, например, example.com. Теперь, под этим доменом у вас будут свои хосты. Каждая машина с подключением к сети считается хостом. Машина для обслуживания документов WWW, естественно, получит в вашем домене имя хоста www, так что её полное доменное имя (FQDN) будет www.example.com. Вы сделаете то же самое и для остальных хостов в своей сети, есть у вас веб-сервер или нет. Так вы наводите порядок в своей сети.

В старом посте на Хабре «Самый краткий линк от Гугл» (июль 2011 года) рассказывалось о том, что Google купила домен g.co для запуска сервиса сокращения ссылок. В комментариях остроумно шутили, что пора Гуглу уже купить свой TLD, купив какое-нибудь государство. В итоге, Google купила для себя домен, а также создала регистратора.

Сегодня я хочу рассказать о том, как в далеком 2012 году я нашел уязвимость в системе регистрации доменов компании REG.RU. Очень часто я вижу истории, в которых авторы рассказывают об уязвимостях при этом упоминая, что компания не уделила найденному багу должного внимания в течение длительного времени или не исправила его вовсе. В моем случае все было ровно наоборот, и уязвимость была устранена очень оперативно.

Корпорация ICANN готовится к первой в истории смене криптографических ключей, которые служат защитой для системы доменных имен интернета (DNS), в связи с чем ею было опубликовано руководство с описанием того, чего следует ожидать в этом процессе.

Немного незаметной прошла новость о том, что ISRG Root X1, корневой сертификат ЦС Let’s Encrypt, стал напрямую доверенным со стороны продуктов Microsoft. Теперь прямое доверие существует со стороны всех основных списков доверительных корневых сертификатов, включая Microsoft, Google, Apple, Mozilla, Oracle и Blackberry.



Мне кажется, этому стоит порадоваться. Хотя, скажем прямо, внешне это никак не оказалось заметно (мы с вами как могли заходить по https на сайты, «прикрытые» выпущенными LE сертификатами, так и можем заходить), и, более того, польза от события будет тогда, когда в системах «прилетят» и начнут использоваться обновленные списки доверительных корневых сертификатов, событие является важной вехой на пути признания этого ЦС — и очередным контраргументом против приобретения сертификатов у ЦС, занимающихся выпуском DV-сертификатов за деньги.

Привет, хабрасообщество. Прошел мой первый успешный захват домена. И сегодня расскажу, что узнал в процессе бэкордера, свои наблюдения и то, как получить хороший занятый домен.

Для чего нужен бэкордер

В популярных доменных зонах (.com, .net, .org) заняты самые короткие и звучные домены.
Существует возможность не пользоваться свободными доменами второго сорта, а перехватить хороший. Часто освобождаются даже трехбуквенные домены, минимальная стоимость которых на вторичном рынке — 17800 $.

Пострадавший от «недобросовестных действий» партнёра хостер BeGet подал официальную жалобу на Reg.ru в Координационный центр национального домена сети Интернет.

В жалобе подробно описана ситуация, которая вчера обсуждалась на Хабре. Вкратце суть конфликта:

Хостер BeGet по партнёрскому договору с Reg.ru с 2008 года заключил договора с клиентами на обслуживание около 70 тыс. доменов. С 2016 года BeGet получил аккредитацию и приступил к регистрации доменных имен как самостоятельный регистратор.

6 июня 2018 года Reg.ru без предупреждения отключил партнёру доступ к API и заблокировал партнёрский аккаунт, лишив его возможности регистрировать, продлевать и переносить домены своих клиентов, а также заказывать для них дополнительные услуги.

Официального объяснения из Reg.ru компания BeGet пока не получила (письма отправлены «Почтой России» 2 июня), но по неофициальным каналам удалось выяснить следующее.

Вчерашний день принёс владельцам 70 тысяч доменов, которые были зарегистрированы у хостера Beget через регистратора REG.RU, не очень приятные новости: регистратор и хостер поссорились и регистратор забрал к себе на обслуживание все домены клиентов, которые они регистрировали через хостера.

REG.RU связывает это с «систематическими нарушениями правил работы с клиентами и договора об оказании услуг» со стороны их давнего партнера.

Примерная реакция владельцев доменов, внезапно переведённых к другому регистратору

Вот новость, которую получили на электронную почту владельцы доменов вчера, 6 июня:

Распределение IP-адресов в 185/8, последнем свободном блоке RIPE, в 2012 году (слева) и 2018 году (справа), источник

17 апреля 2018 года Сетевой координационный центр RIPE — одна из пяти Региональных регистратур — распределил последние 1024 адресов IPv4 из последнего блока /8, полученного от IANA в 2011 году. Хотя последний блок 185/8 полностью распределён между европейскими компаниями, но в пуле RIPE NCC осталось 9 млн «восстановленных» адресов (то есть адресов, изъятых у бывших владельцев). По расчётам Координационного центра, этого хватит ещё примерно на два года, если выдавать по заявкам локальных регистраторов по /22 каждому.

На данный момент каждый адрес IPv4 — исключительно дефицитный товар, а последние выделенные IP-адреса используются очень интенсивно. Поэтому особенно неприятны ситуации вроде нынешней массовой блокировки IP-адресов в России. На пике блокировки 18 млн заблокированных Роскомнадзором IP-адресов соответствовали 5,5 млн заблокированных доменов — это около 2,45% из 223 млн известных доменов в интернете.

День добрый читатели.

Это моя первая статья за много лет чтения Хабра, поэтому прошу «понять и простить».

В ней я хочу поделиться тем, как попытаться вернуть к жизни игровые сервисы, адреса которых заблокированы РКН в агонии попытках запретить Telegram.

В моём случае, это был Nintendo Switch, но полагаю, сервис PSN (да и прочие тоже) разблокируется так же. Просто мне повезло и PSN работал изначально. В любом случае, PlayStation у меня есть и я могу поисследовать проблему и написать отдельный пост на эту тему.

Забегая сразу в конец — в моём случае, с Nintendo, это получилось.

Есть предложение. В связи с блокировками, давайте все массово просто попросим. Я понимаю, смешно. Но что то делать нужно. На https://rkn.gov.ru/ в самом низу есть «Сообщить об ошибке (Ctrl + Enter)». Давайте писать. Просто писать.

Я писал о docs.mongodb.com.

Присоединяйтесь. Вдруг что-то изменится?

Компания Cloudflare представила публичные ДНС на адресах:

• 1.1.1.1
• 1.0.0.1
• 2606:4700:4700::1111
• 2606:4700:4700::1001

Утверждается, что используется политика "Privacy first", так что пользователи могут быть спокойны за содержание своих запросов.

Сервис интересен тем, что кроме обычного DNS предоставляет возможность использовать технологий DNS-over-TLS и DNS-over-HTTPS, что здорово помешает провайдерам по пути запросов подслушивать ваши запросы — и собирать статистику, следить, управлять рекламой. Cloudflare утверждает, что дата анонса (1 апреля 2018, или 04/01 в американской нотации) была выбрана не случайно: в какой еще день года представить "четыре единицы"?

Представляем вашему вниманию очень эмоциональный рассказ Льва Николаева (@maniaque) о том, как надо настраивать DNS и особенно, как делать не надо. Вот прямо после каждого пункта можете мысленно добавлять: «Пожалуйста, не делайте этого!» В своем докладе Лев так и говорит.

Статья будет состоять из трех частей:

1. Как сделать резольвер (unbound, bind)

Резольвер — это та штука, которую вы прописываете в настройках своей операционной системы, чтобы можно было превращать понятные человеку адреса типа ya.ru в непонятное 87.250.250.242.

2. Как держать зоны (PowerDNS)

Если вы уже доросли до этого, расскажем, как держать зону самостоятельно, как это делать хорошо и отказоустойчиво, и как это делать, если у вас несколько сотен доменов.

3. Как взболтать, но не смешивать (PowerDNS + unbound)

Домен, как объект права, отсутствует в Гражданском кодексе РФ, он не является результатом интеллектуальной деятельности (объектом исключительных прав), не является вещью или иным имуществом, законодатель не установил ни специальных правовых норм об условиях и субъектах “доменных” правоотношений, ни специальных процедур разрешения споров, связанных с доменами. Юристы часто отождествляют доменные имена с товарными знаками. Все же, доменные имена имеют иную правовую природу, ведь они не индивидуализируют ни продукцию, ни услуги. Домен несет в себе маркетинговую ценность для его обладателя и является его нематериальным активом. Рассмотрим некоторые правовые аспекты доменного пространства в России и мире.