Dnes sleva 50% na webhosting NoLimit

Diskuze ke článku 'Vysvětlení situace ohledně DNSSEC dne 4. 4. 2017' - fórum

13.04.2017  |  diskuze (7)
Jako vždy jsme otevřeni a nic netajíme.

přidatNový příspěvek

Chcete-li odebírat toto téma e-mailem, přihlašte se nebo se nejprve zaregistrujte.

Klasicke cehunske podnikanie, presne ako na SK

WisdomSpeaker, 07.05.2017 19:20:43

Nikde som sa nedocital o ziadnej kompenzacii, ako napr sluzby na 1 mesiac zadara?! Cize klienta mate u prdele rovnako ako ostatni.
Amen!

Re: Klasicke cehunske podnikanie, presne ako na SK

Josef Grill, WEDOS, 07.05.2017 20:53:28

Dobrý den,

zakládáme si na tom, že o všem zcela otevřeně informujeme.
V mnoha směrech se odlišujeme od jiných firem a tahle otevřenost není zase tak výjimečná.

Každou situaci posuzujeme individuálně. Tahle záležitost nejde řešit paušálně, protože se to týkalo v podstatě domén a tam nejde třeba přidat měsíc zdarma. Každého se to dotklo jinak (někdo to ani nezaznamenal, někdo to měl hodinu a někdo třeba celou noc).

doplnění

pavel, 16.04.2017 00:02:36

1) týkalo se údajně jen 3-5% povozu, pravděpodobně ale včetně Google Botu, což sebou ponese propady ve vyhledávání.

2) děkuji za upozornění, že přednost mají prudiči. Po zjištění nedostupnosti jsem dohledal informaci, co se děje, a čekal. Měl jsem prudit podporu: ideálně vícekrát, abych měl šanci, že mne některý z operátorů dá dopředu. Příště.

3) u domény je jakýsi souhlas, že můžete DNSSEC v případě problémů dočasně deaktivovat. Úplně k ničemu (nebyl-li přidán zpětně).

4) trapně působí výmluva, že DNSSEC nikdo nepoužívá. No tak proč jste ho tak masivně nasazovali, skoro bych řekl vynucovali?

5) jak chodily vaše emaily mne nezajímá, mnou poslané z vps ale někteří příjemci odmítali jako neověřitelné (v kombinaci s SPF). A pochybuji, že ty vaše na tom byly (u domén používajících spf) lépe.

Re: doplnění

Josef Grill, WEDOS, 16.04.2017 08:41:47

Dobrý den,

dovolte, abych reagoval.

1) týkalo se údajně jen 3-5% povozu, pravděpodobně ale včetně Google Botu, což sebou ponese propady ve vyhledávání.
= Shodou okolností Google z většiny světa DNSSEC neověřuje. A jen DNS servery Google resolvující v ČR používají DNSSEC.
Propad ve vyhledávání nebude, protože google to zkusí znovu.

2) děkuji za upozornění, že přednost mají prudiči. Po zjištění nedostupnosti jsem dohledal informaci, co se děje, a čekal. Měl jsem prudit podporu: ideálně vícekrát, abych měl šanci, že mne některý z operátorů dá dopředu. Příště.
= Na webu a v administraci a chatu bylo napsáno, že to skutečně uděláme přednostně nebo si to může nastavit klient sám. Návod tam byl.

3) u domény je jakýsi souhlas, že můžete DNSSEC v případě problémů dočasně deaktivovat. Úplně k ničemu (nebyl-li přidán zpětně).
= Tento souhlas je tam od samého počátku nasazování DNSSEC. Dodatečná deaktivace v tomto případě by nic neurychlila.

4) trapně působí výmluva, že DNSSEC nikdo nepoužívá. No tak proč jste ho tak masivně nasazovali, skoro bych řekl vynucovali?
= Ne, to není výmluva. To je jen vysvětlení, že jsme sami byli překvapeni tím, že DNSSEC málo používají DNS servery.
Situaci vůbec nezlehčujeme nebo se nevymlouváme. Jen jsme to uváděli jako fakt. DNSSEC svůj význam má z hlediska bezpečnosti. O tom není pochyb. Na druhou stranu je škoda, že tak málo DNS serverů to řeší (což samozřejmě bylo výhodou pro nás a klienty v této situaci). Překvapilo nás, že ani CZ.NIC (jako největší propagátor DNSSEC) na svých DNS serverech DNSSEC nepoužíval.

5) jak chodily vaše emaily mne nezajímá, mnou poslané z vps ale někteří příjemci odmítali jako neověřitelné (v kombinaci s SPF). A pochybuji, že ty vaše na tom byly (u domén používajících spf) lépe.
= To opět souviselo s tím jaký DNS server byl použit. Vysvětlujeme celou situaci.

Re: doplnění

pavel, 17.04.2017 16:51:13

děkuji za reakci

V bodě (1) jsem myslel penalizaci, ne nezaindexování.

Re: doplnění

TV, 18.04.2017 16:59:40

"Překvapilo nás, že ani CZ.NIC (jako největší propagátor DNSSEC) na svých DNS serverech DNSSEC nepoužíval."

Pane Grille, lžete rád? Vy totiž evidentně vůbec netušíte, co radíte a děláte a jak to funguje, což je na pováženou. Ty vámi avizované DNS servery samozřejmě DNSSEC ověřují (217.31.204.130 a 193.29.206.206).

dig @217.31.204.130 www.dnssec-failed.org +dnssec +multi

; <<>> DiG 9.11.0-P3 <<>> @217.31.204.130 www.dnssec-failed.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 56576
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.dnssec-failed.org. IN A

;; Query time: 837 msec
;; SERVER: 217.31.204.130#53(217.31.204.130)
;; WHEN: Tue Apr 18 16:54:26 CEST 2017
;; MSG SIZE rcvd: 50

--------

dig @193.29.206.206 www.dnssec-failed.org +dnssec +multi

; <<>> DiG 9.11.0-P3 <<>> @193.29.206.206 www.dnssec-failed.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 41391
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;www.dnssec-failed.org. IN A

;; Query time: 1142 msec
;; SERVER: 193.29.206.206#53(193.29.206.206)
;; WHEN: Tue Apr 18 16:54:55 CEST 2017
;; MSG SIZE rcvd: 50

--------

Takto oproti tomu vypadá výsledek na serverech, které DNSSEC neověřují, např. OpenDNS:

dig @208.67.222.222 www.dnssec-failed.org +dnssec +multi

; <<>> DiG 9.11.0-P3 <<>> @208.67.222.222 www.dnssec-failed.org +dnssec +multi
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57590
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.dnssec-failed.org. IN A

;; ANSWER SECTION:
www.dnssec-failed.org. 7200 IN A 68.87.109.242
www.dnssec-failed.org. 7200 IN A 69.252.193.191

;; Query time: 175 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Tue Apr 18 16:57:10 CEST 2017
;; MSG SIZE rcvd: 82

--------

Ono kdyby se u Vás někde zamyslel, tak jen opravdu nepříliš duševně vybavený jedinec bude doporučovat jako workaround pro expirované podpisy použití DNS serverů CZ.NIC, které jsou vysloveně avizovány jako validující - viz https://www.nic.cz/odvr/

Re: doplnění

Josef Grill, WEDOS, 18.04.2017 21:05:40

Dobrý den,

nelžeme a není k tomu důvod. V inkriminované době jsme skutečně použili DNS servery CZ.NIC
217.31.204.130 a 193.29.206.206
a všechny naše domény byly řádně přeložené.
Proč a jak je to možné neřeším. Nás to také překvapilo. Hledali jsme jiné DNS servery, které bychom mohli použít, protože naše (samozřejmě) nefungovaly.

Děkujeme za příspěvek, ale věřte, že nemáme důvod tvrdit něco jiného, než jak to ve skutečnosti bylo. Proč bychom to dělali?

Za svá tvrzení se nestydím, umím se pod svůj názor i podepsat a nemusím ho psát nějak anonymně.