Pavel7 28 авг 2024 в 10:17

Yandex DNS DoH/DoT отдаёт просроченный сертификат

1 мин

8.6K

DNS*

+14

Комментарии 21

almirus 28 авг 2024 в 10:31

Список альтернатив

https://github.com/curl/curl/wiki/DNS-over-HTTPS

НЛО прилетело и опубликовало эту надпись здесь

Blacker 28 авг 2024 в 10:50

Можно только догадываться, сколько народа сегодня (как и я сам), обладая роутерами Keenetic и подобными, с возможностью включить Yandex DNS в 2 клика, негодуют из-за отвалившегося резолвинга.

Репутация Яндекса среди IT'шников и так не особо высока, а такими инцидентами они сами себя опускают на дно. Обидно, однако.

INSTE 28 авг 2024 в 12:02

В Keenetic используются адреса навроде https://common.doh.dns.yandex.net/dns-query для DoH, и по этим адресам нет и не было явных проблем с сертификатами.

s7eepz 28 авг 2024 в 12:41

Только кто отрезолвит имя, если другие днс не прописаны?

INSTE 28 авг 2024 в 14:39

Для boostrap будут использованы DNS провайдера, а если они не указаны или недоступны, то будет произведен рекурсивный резолвинг.

s7eepz 28 авг 2024 в 15:12

раньше в кинетиках не работал fallback помню на прошивках 3.х, если не указан днс провайдера.

сейчас глянул на 4.2, все ок)

INSTE 28 авг 2024 в 16:03

Еще в прошлом году было поправлено, да.

denis-19 28 авг 2024 в 10:56

Хабр запросил комментарий в Яндексе - там готовят ответ.

GiaNT_05 28 авг 2024 в 18:06

Ответ по типу: простите, certbot в crontab забыли прописать 🐱

denis-19 28 авг 2024 в 18:06

пока ответа нет, решили оставить без комментариев(

НЛО прилетело и опубликовало эту надпись здесь

blind_oracle 28 авг 2024 в 11:00

Позорище.

Это значит что у них нет ни мониторинга, ни нормально организованного процесса для ротации...

При Воложе такой фигни не было!

GoldGoblin 28 авг 2024 в 11:15

Он все забрал с собой да?

exTvr 28 авг 2024 в 11:20

Все полимеры.

Vitimbo 28 авг 2024 в 11:16

Любой мониторинг упирается в человека, который мог получить сигнал, но продолбать сроки.

blind_oracle 28 авг 2024 в 11:24

Значит система не организована правильно.

В нормальных платформах для инцидентов (OpsGenie там и т.п.) есть эскалации - если основной ответственный не среагировал на инцидент, то нотифицируется следующий или начальник или ещё кто-то.

Плюс, обычно, обновление сертификатов начинает происходить задолго до истечения - есть много времени чтобы среагировать.

Так что тут явно косяк в организации многих процессов.