Как стать автором
Обновить

Комментарии 75

У pdd.yandex.ru было ограничение на 50 доменов
Ок, исправил. Однако, нигде этого не нашел.
pdd.yandex.ru поддерживает A, CNAME, AAAA, TXT, MX, NS, SRV (по крайней мере в селекте в админке они все есть).
Ну я так и написал. A, CNAME, MX, NS и TXT все поддерживают.
В таблице вижу только AAAA и SRV
И правильно. В таблице нигде нет A, CNAME и остальных. Зачем их указывать, если они есть везде?
Ещё нигде не указаны PTR, они тоже иногда нужны.
за такой услугой нужно обращаться к своему провайдеру.
К провайдеру надо обращаться для делегирования обратной зоны выделенной PA, а дальше рулить самостоятельно через DNS-сервер с поддержкой PTR.
Делегируют единицы…
Некоторые ленятся указывать арендатора в описании PA, но делают это после официального запроса.
И еще у них есть API.
dotster.com позволяет бесплатно управлять DNS включая организацию различных редиректов, однако требуется зарегистрировать хотябы один домен у них

было бы очень интересно найти бесплатный/условно бесплатный сервис DNS с возможностью делать VANITY DNS в пару кликок
Если домен висит у них, они добавляют к нему поддомены (типа, kievbank.domain.ru), на которые вешают всякий мусор. Поисковикам это не очень нравится.
Это настраивается. Не вводите людей в заблуждение.
Где? Я вот в свое время, когда это заметил, обыскал весь интерфейс и даже написал в поддержку, но ответа так и не получил. Поэтому ушел к cloudflare.com
Хотя может быть теперь и добавили возможность отключения, в любом случае был бы очень признателен, если бы Вы сообщили, где это можно отключить.
А есть еще biz.mail.ru — там еще раньше домен второго уровня бесплатно регистрировался, не знаю как сейчас.
P.S Это не реклама.
благодарю за инфо по biz.mail.ru — работает и в 2020 году)
Посоветуйте, пожалуйста, что лучше использовать для домашних целей — доступ к owncloud и прочим сервисам. Сейчас использую ***.dlinkddns.com. IP белый, формально динамический, по факту не меняется. Или подскажите, что почитать, был бы благодарен))
Если «по факту не меняется», то зачем вам DDNS? Я использую DNS от Яндекс. Всё работает хорошо.
P.S. Простите за некропостинг.
Уже неактуально) Купил свой домен и радуюсь. Да, если интересно, позавчера как раз публиковал пост о https от Let's Encrypt для доменов даже четвертого уровня. Поднимаем Owncloud с нуля с динамическим IP и Let's Encrypt. Тысяча слонов!*
Ого, пост отличный, у самого в черновиках висит начало, но как-то всё времени не хватало. В общем у меня всё аналогично, только использую Nextcloud. Основное ядро разработчиков ушло туда, фичи там сейчас пилятся быстрее. Хотя на вкус и цвет, конечно.

С SSL вообще отдельная тема. Думаю не написать ли пост на хабре… Хотя уже тут много такого было.
В общем посмотрите сами:
https://www.ssllabs.com/ssltest/analyze.html?d=krasovsky.me

Я сделал автоматический выбор шифров AES256 или ChaCha20. Помимо этого перевел все на ECDSA (Eliptic Curves) и прикрепил два сертификата (на случай, если один отзовут, к примеру), настроил Key Pinning (HPKP). Впрочем всё это видно по ссылке выше.

Шифры у вас довольно топорно указаны, то есть просто перечисление (и в этом нет ничего ошибочного, всё правильно :) ), но можно записать более короткую форму, всего в одну строчку:
EECDH+AESGCM:EECDH+CHACHA20:EECDH+AES256:!AES128
(Нужна поддержка ChaCha20).
Спасибо. Я просмотрю. По шифрам ориентировался на рекомендации ssllabs. Вроде все тесты на А проходит. Раньше на А+, но сейчас что-то ужесточили. Насчет Nextcloud уже знаю, спасибо. В комментариях сказали. Упустил этот момент. Буду мигрировать.
Кстати ещё рекомендую проверить ваш сайт тут:
https://securityheaders.io/

Этот сайт является частью report-uri.io, который, в свою очередь позволяет просто собирать репорты от Content Security Policy и Key Pinning. В общем буквально за час-два можно настроить грамотные политики, при которых кросс-сайтовый скриптинг будет невозможен.
Тут только primary, т.е. только 1 NS.
У cloudflare тоже есть api и куча доп. фич типа кэша, защита от ддос, статистика и т.д.
Было бы не плохо добавить голосование из этих сервисов, интересна их популярность.
У afraid.org ещё есть dyndns с кучей клиентов под все ОС и простеньким API.
У namecheap.com 3 ns поддерживает A/AAAA/CNAME/MX/TXT/SRV записи, установка TLL.
freedns.afraid.org имеет неприятную особенность подключать к вашему домену левые поддомены других пользователей. Недавно был топик.
добавьте в список xname.org
Для secondary-only почти всегда AXFR импортирует всё, что видит, т. е. можно не перечислять поддерживаемые типы записей. Хотя могут и резать.
В частности, для rollernet.us и puck.nether.net могу добавить, что они поддерживают импорт
DNSSEC (записи RRSIG и NSEC) и DANE (записи TLSA или TYPE65468).

Ну а лучший primary для работы с DNSSEC — свой primary, т. к. переподписывать записи придётся часто (пусть даже медленный; а на что ещё кэши dns-resolver-ов?).
А как на практите сегодня использовать TLSA запись?
Так у TLSA только один сценарий использования: чтобы проверить соответствие сертификата на сервере по DNS-записи. Сделать это можно, например, так:
openssl s_client -connect good.dane.verisignlabs.com:443 </dev/null 2>/dev/null | openssl x509 > cert.pem

TLSSIGN=`openssl x509 -noout -in cert.pem -fingerprint -sha256 | cut -d= -f2 | tr -d :`
# 8.8.8.8 срежет ответ при расхождении подписей DNSSEC
DNSSIGN=`dig +short tlsa _443._tcp.good.dane.verisignlabs.com @8.8.8.8 | awk '{print $4 $5}'`

if [ $TLSSIGN == $DNSSIGN ]; then
	echo "Invalid certificate"
	# далее используем альтернативный канал
fi


В идеале должен быть не 8.8.8.8, а более надёжный канал, например, DNSCrypt.

Для Firefox есть расширение для проверки DANE, но сайтов c DANE очень мало. Зато DANE стандартизирован и его можно использовать в любых протоколах с TLS, что делают IRC-клиент Irssi и почтовый агент Postfix.
Когда-то черновой вариант DANE работал в хроме, я писал об этом habrahabr.ru/post/138490/
Можно было иметь валидный самоподписанный сертификат. Но когда приняли стандарт, гугл почему-то выбросили эту поддержку из хрома.

И вроде бы всем очевидна полезность DANE, и вот мозилла обсуждает ее внедрение wiki.mozilla.org/Security/DNSSEC-TLS-details Но почему-то никто не спешит внедрять.

Очевидно, что эта технология убивает огромный бизнес SSL-сертификатов. И есть вероятность, что пока живы всякие CA вроде Verisign и Comodo, никакой поддержки DANE не будет.
Лол, только сейчас заметил ваш ник, а до этого так хотелось дать ссылку на вашу же статью.

Кстати, возможно вы поясните одну вещь, которая до меня не доходит. Предположим, я делегирую у реселлера R01 или RuCenter домен в зоне Ru. В момент подписи генерируется строка DS (dsset), которую мне нужно перенести в специальную графу формы в личном кабинете ресселлера. И тут появляется злоумышленник, генерирует свои ZSK и KSK, по открытому ключу RU и KSK создаёт DS. При этом реселлер может в любой момент по запросу злоумышленника подменить NXDOMAIN и DS-запись. После этого по изменённому адресу NXDOMAIN поднимается сервер, который подменяет A/AAAA-записи на IP злоумышленника. Злоумышленник поднимает на этом IP https-сервер, удостоверяет его самоподписанным сертификатом, а потом ещё и удостоверяет сертификат DANE-записью и подписывает зону по своему ZSK-ключу. В итоге пользователь, чей браузер поддерживает DANE (представим, что такие существуют), даже не получит предупреждения!

Как можно перекладывать доверие на регистраторов? Перед кем они отчитываются, кто проводит аудит? В случае чего регистратор просто скажет, что юзер сам вошёл в панель управления и заменил DS.
Да, в этой схеме предполагается доверять регистратору DS-записи которые он помещает в корневые NS-ы зоны. Но в случае подмены DS невозможно произвести атаку без смены NS-записей. В любом случае незаметно это сделать нельзя.
В текущей схеме ведь так же приходится доверять регистратору NS-записи.

Я держу скрипт который несколько раз в сутки опрашивает корневые сервера зоны на предмет изменения NS-записей для домена и так же изменения whois, и в случае изменений отправляет мне SMS.

Не совсем понял про NXDOMAIN, это ведь ответ что домен не существует.

Оговорился, имел в виду NS, а не NXDOMAIN.
Связка DNSSEC+DANE+самоподписанный сертификат не работает. Это вы из своей сети видите, что NS-записи целы. А для многих администраторов сетей подмена DANE и IP это прекрасный способ внедрить свой самоподписанный сертификат даже без предупреждения браузера. DNSCrypt является медленным и дорогим средством (что на примере OpenDNS отбивается абсолютно неприемлемым способом с точки зрения privacy). Так что не смог бы DANE убить бизнес CA.
Это вы из своей сети видите, что NS-записи целы.


Вы имеете в виду, что если атакующий контролирует рекурсивный резолвер который использует юзер, он может выстроить альтернативную цепочку проверки сертификата?
Но это невозможно, так как DS-записи вашего домена на корневых серверах зоны подписаны ключом этой зоны:

dig +trace +dnssec DS zhovner.com

Видно, что DS записи для домена zhovner.com хранящиеся на gtld-servers.net имеют RSSIG.

Поэтому чтобы провести атаку, которую вы описываете, нужно еще завладеть ключом от корневой зоны .ru. Иначе цепочка будет нарушена.
he.net пишет что DNSSEC вероятно будет работаеть при использовании их как secondary, но они не обещают.
Очень не хватает указания минимального TTL. Очень многие регистраторские NS-ы грешат тем, что «изменения будут активированы в течении суток», при этом они реально попадут (по cron-у) в зону через час-другой, а потом (спасибо TTL) будут еще сутки-другие разноситься по просторам Интернета.

Понятно, что возможное значение TTL в единицы или десятки секунд не особо нужно, но 5-10 минут — очень порой выручает. И, да, нужно, чтобы его можно было указывать для каждой записи. Простой пример: для ddns-записи его величина в 5 минут будет в тему, для записи www можно и несколько часов, а то и сутки поставить — скорее всего это не окажется смертельным.

Rackspace, кстати, заявляют не просто о нескольких NS-серверах, но о полноценной поддержки anycast, т.е. информация будет отдана с ближайшего к клиенту их сервера. По сути, у них есть площадки в США, в UK, в Австралии, и в Азии (не уверен) так что почти весь мир их anycast обслуживает вполне быстро ( www.rackspace.com/about/datacenters/ )
К сожалению rackspace dns, нельзя взять и использовать с какими хочешь серваками.

Только для их сереверных ресурсов можно использовать их dns.

Из часто задаваемых вопросов по rackspace dns:
Can this service be used for Dedicated Servers?

No. The Cloud DNS service is only available for Cloud account resources. Managed / Dedicated customers with Rack Connect (i.e. those customers who also have a Cloud account) have access, but can only use the service to manage DNS for their Rackspace Cloud resources.


Тогда уберу его
Опрос бы добавили интересно знать кто чем пользуется. Я пробовал только yandex.ru
Возможно ещё пометить сервисы, позволяющие создать wildcard запись (которая *.example.org)?
У freedns.afraid.org это премиум-фича.
Большинство предоставляют.
Я обновил таблицу потому, что pointhq стал платным, и мне нужно было куда-то переносить свои домены. Остановился на he.net, т.к. 50 доменов довольно-таки много, много фич, IPv6 и 5 NS. Понравились еще 2ns.info и geoscaling.com. Это «полноценные» NS-сервисы, функциональность полная.
У geoscaling действительно полная функциональность.

Полный доступ к mysql получил минут за 10, слил список юзеров и доменов исключительно ради спортивного интереса. Их там немного, да и подавляющие большинство доменов давно на других днсах.

Ни капельки не удивлюсь, если я не первый, и IP-адреса в ваших A-записях будут меняться произвольным образом. Не советую пользоваться, в общем.
Раз вы потратили 10 минут на слив юзеров, может потратите еще две чтобы сообщить о проблеме владельцу?
Сервис хороший, раньше пользовался. A-записи произвольно не менялись.
Расскажите, как вы переезжали с PointHQ?

Меня не пускают никуда кроме выбора оплаты тарифного плана. Экспортировать зону не дают.
Получил ответ от их техподдержки:

Hi there,

Your account is block now, please let me know which domain you want to export and I will send you appropriate files.

Regards,
Michał


Интересный подход. Когда все сервисы предлагают trial-режимы — эти ребята сразу отключили доступ.
Ну так триал же у вас закончился. А у меня, по какой-то причине, пошел в минус. Говорит, что у меня осталось 4 дня до окончания триал-доступа и цифра все растет и растет.
secondary.net.ua — никто не занимается, бывали случаи когда он несколько дней лежал, а единственный человек который из занимается был на рыбалке.

Есть еще gratisdns.dk/ там бесплатен только secondary и панель только на датском языке. Но зато 5 серверов и поддерживает DNSSEC.
Я когда регистрировал домен в зоне .IS, то долго не мог подобрать NS-сервера с нужными требованиями. Выручил меня данный сервис: x.is (АААА, LOC, SRV), правда при переносе на него более нагруженного домена, начал ругаться Google на перегруженность DNS-сервера сайта.
Рассмотрите вариант переноса списка из хабратопиков в репозиторий на гитхабе. Их часто стали использовать ведения списков-закладок — удобно принимать пул-реквесты.
selectel.ru — в услугах не значится, но в панели управления пункт меню «домены» присутствует. 4 anycast'овых NS'a (10 географических точек, 5 из них — Киев, Санкт-Петербург, Москва, Екатеринбург, Новосибирск), доступны по IPv6. Для использования NS-ов заказывать какие-либо услуги необязательно.
А у Яндекса честный-честный DNS-сервис? Любые MX-записи дадут сделать? Google Apps подключить? Свою почту навязывать не станут?
Не честный у них DNS. Только если их MX записи стоят. Ушел от них к Cloudflare.
Зачем вы дезинформируете человека?
Все у них честное, у меня DNS на яндексе, вся почта вообще на другие MX.
Мне они упорно меняли MX'ы и ставили свои TXT записи. Может это был какой-то баг.

Я пересел на DNS от Яндекса. Они действительно навязчиво ставят свои MX-записи, но только для доменов, для которых вы сами их не настроите. Жить можно.

У cloudflare есть замечательное API. Использую его именно из-за этого. :)
У ClouDNS есть API.
Кстати, очень доволен их сервисом. Был до этого he и afraid, что-то их колбасило часто когда они работали как secondary.
Эмм, а почему cloudflare записан просто как DNS, это у них вообще боковой функционал, существующий исключительно для реализации основной задачи — CDN+защита WEB-сайтов (DDoS, WAF, etc).
Потому, что это список DNS-сервисов?
А для чего столбец «Доп. фичи», м? Ну и повторю — cloudflare — это не DNS-сервис. Да, там есть такая функция, но использовать cloudflare просто как DNS-сервис было бы довольно глупо. Это примерно как использовать автомобиль как зарядное устройство для телефона.
Но как CDN CF имеет свои моменты, а вот DNS с API, да еще и без денег (т.е. даром) — очень полезная штука.

«Моменты» — это, я, во-первых, про то, что они, в среднем, далековато от России, т.е. от такой CDN-ности не всегда много пользы. Ну и бывает, что они, как всякий кеш, не успевают контент у себя обновить, и отдают старое.

DNS с API вообще не так чтобы часто встречается, вот проблема. И даже не в деньгах дело, просто пока из потребностей человек нужно только поддожиывать DDNS для одной-двух записей, то выбор существенно шире, а вот если хочется скриптами свою зону обновлять, тут призадумываешься…
Может этот список да на github, чтоб каждый мог дополнить?
2ns.info уже закрыт, с их сайта
Пожалуйста, обратите внимание, что полное отключение всех функций сервиса и полное закрытие проекта произойдет 31 октября 2014 года.
Самый простой, бесплатный, только А, обновление ссылкой раз в 5 минут: hldns.ru
Но ведь, судя по заглавной странице, там только DynDNS и только на их домене hldns.ru? (Я ещё не регистрировался.)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.