Комментарии 16
Поясните, пожалуйста, чуть проще - что это означает?)
Сами накосячили, теперь делают все чтобы не выйти на себя и сделать заявление «теперь все документы в норме, ошибок быть не должно!»
DNSSEC обеспечивает определенную степень надежности при обращении к DNS, гарантирует, что запись DNS корректна и ответ будет подлинным (сайт не подменен на другой). Есть DNS-сервер корневой зоны, которому все остальные доверяют по умолчанию.
Тем же самым занимается НСДИ, но с более высоким коэффициентом скрепности корневого сервера. Ведь его контролирует РКН.
Быстро они среагировали.
Такое ощущение, что вместо того, чтобы разбираться с проблемой работы или недоступности DNSSEC, РКП решил тупо его выпилить к хренам. Нет технологии - нет проблемы, заодно проще отдавать фишинг, рекламу, страницы блокировки и тому подобное. Напрямую из написанного это не следует, но ограничение провайдерам доступа к файлу зоны, даже на чтение, заставляет подозревать. Хуже всего, если зону будет этот самый резолвер НСДИ переподписывать на лету для каждого провайдера отдельно, что кстати при современных мощностях очень легко сделать, и будет, что DNSSEC есть, но де-факто он ничего не значит. Веселее всего, если для грубо говоря гугла будет отдаваться одна зона (урезанная или искаженная), а для провайдеров из белого списка - другая (правильная), а в такой схеме это запросто можно организовать.
Ну и пожалуйста, ну и не нужно.
Не подсказывай им :)
прочитал не особо погружаясь и мне тоже показалось, что "аварию" использовали для того чтобы отказаться от обязательности использования DNSSEC. Соответственно официально можно игнорировать его существование, а то и блокировать. У вас что-то не работает? Проблема на вашей стороне.
Не будут они переподписывать. Просто не будут отдавать DNS-записи, относящиеся к DNSSEC, отключив в рунете подписи зон и открывая дорогу к подменам резольва записей.
Начиналось с создания резервной системы DNS в целях безопасности на случай отключения извне вредителями, а в итоге сами же изолируют его изнутри. Никаких вредителей извне даже не потребовалось.
Сначала создали реестр РКН исключительно "для защиты детей от вредной информации о суицидах и наркотиках", теперь блокируют даже протоколы, пропуская трафик по белым спискам. Заблокировали QUIC (очевидно от защиты детей от его тлетворного влияния), заблокировали ECH, успешно протестировали блокировку DoH/DoT и доступа к популярным публичным DNS поддерживающим шифрование, совершенствуют внеерестровые блокировки "запрещенных" протоколов на ТСПУ (попутно ломая все что можно, но делая огромные деньги на этом оборудовании, заранее скупив его разработчиков), теперь вот двигаются дальше к суверенному чебурнету светлому будущему.
Еще немного и можно будет рапортовать начальству об успехах, получать награды.
Осталось еще уголовку за использование шифрования ввести. Или за факт выхода в международный сегмент интернета.
А тем временем некоторые провайдеры (дом ру) уже делают подмену DNS ответов.
P.S. Вспоминаю, как еще недавно были времена, когда те же самые люди пытались внедрить DNSSEC для безопасности зоны .ru, а теперь сами же убивают все труды.
а что там в зоне ру еще интересного осталось? госуслуги разве что.
я вот в январе только из новостей узнал, что что-то падало.
А не по этому ли у кучи мелких ру сайтов, проблемы с сертификатами? Гугл говорит что всё окей,
а каспер говорит:
возможно, каспер не признает какой-то из корневых сертификатов letsencrypt (зато признает корень, запиленный минцифрой или кем там, до сих пор не ставил), отсюда и грабли. Надо детали читать, что там ет каспер пишет, и что пишет curl со стандартной базой сертификатов для ubuntu.
Не знаю, что там у вас "окей", но на этом сайте сертификат истёк "суббота, 6 августа 2022 г. в 04:59:59" и ругается антивирус (да и браузеры тоже) совершенно справедливо.
Выбью себе глаз, пусть у моей тещи будет зять кривой
Роскомнадзор после сбоя зоны RU меняет порядок работы «суверенного рунета»