Přejít k navigační liště

Zdroják » Různé » Jak nás vypekl DNSSEC

Jak nás vypekl DNSSEC

Články Různé

Minulý týden byl Zdroják pro některé uživatele asi tři hodiny nedostupný. Ptali jste se, co se dělo, tak vám to popíšu.

Nálepky:

Zpětně viděno nebyl tenhle výpadek Zdrojáku žádná velká záhada, ale protože jsem se s tímhle typem problému setkal poprvé (a řada z vás nejspíš ještě nikdy), může být jeho popis někomu užitečný.

Nahlášení

První zpráva přišla ve středu večer od Jakuba Boučka. Později se přidalo několik dalších uživatelů. Ale podezřele málo, jen jednotky.

Jakub se nemohl dostat na Zdrojak.cz, konkrétně neviděl vůbec naši doménu. Ani přes nástroj dig z googlu ji neviděl.

Na tom by ještě nebylo nic originálního. Problémy s doménou se občas stávají. Ovšem tenhle jsem nedokázal zpreprodukovat. Dig na mém stroji fungoval bez problému. A i dalším lidem doména fungovala. Hned jsem zkusil několik doménových nástrojů rozmístěných různě po světě a z nich Zdrojak.cz také fungoval.

Lokalizace problému

Co je tedy špatně, že ji Google (a někteří naši uživatelé) nevidí? Co je u nich tak specifického, že zrovna oni? Nebyl jsem schopen chvíli na nic přijít.

Chtěl jsem mít v rukou něco konkrétnějšího, než zalarmuju večer adminy. Tak jsem zkoušel jeden doménový nástroj po druhém. Dlouho bez výsledku, až konečně další doménový nástroj Googlu mi ukázal konkrétnější odpověď. Místo prostého SERVFAIL napsal, že vidí problém v DNSSEC.

Cože, my jsme nasazovali DNSSEC? Kdy? – No alespoň mám první stopu. Pak už to šlo celkem rychle a snadno.

Problém s DNSSEC

Pomocí nástroje dnssec-analyzer.verisignlabs.com jsem našel potvrzení, že problém je opravdu s DNSSEC, viz screenshot.

Moc jsem z něj ovšem nebyl moudrý. O DNSSEC toho moc nevím. Cože to dělá? Podepisují se v něm domény. Tedy přesněji vazba doménové jméno <=> IP adresa, aby někdo nemohl podvrhnout jinou. Co se v tom může pokazit? Další nástroj mi už prozradil dost.

Zkusil jsem dnsviz.net a dostal následující výstup. Konečně něco srozumitelného i pro člověka DNSSEC nepoznamenaného.

Z grafu jsem pochopil, že se zde ověřuje podpis. Vychází se z kořene „.“, následně se ověří zóna „.cz“, to projde a jde se na ověření „zdrojak.cz“, což už neprojde. V levém sloupci vidím červené chyby „Signature Expiration field … is 2 hours, 29 minutes in the past.“ To zní, hmm… jako by vypršel nějaký certifikát? A taky že ano, přesněji tedy vypršela platnost podpisu naší domény.

To nejtěžší bylo hotovo. Za chvíli Zdroják opět běžel všem.

Problémy menšiny se lehce přehlédnou

DNSSEC existuje již několik let, ale není příliš rozšířený. To byl důvod, proč problém hlásila jen podezřelá minorita uživatelů a proč i „běžné“ nástroje pro kontrolu domén fungovaly. V našem případě totiž doména Zdrojak.cz běžela, měla ovšem neplatný podpis. Ty nástroje (ani uživatelé), které DNSSEC nepoužívají žádný, problém nemohly vidět.

Podle CZ.NIC je přes DNSSEC zabezpečeno asi 50 % českých domén, to je celkem velké číslo. Ovšem uživatelů, kteří toho využívají, je velmi málo. Nenašel jsem žádná konkrétní čísla, slyšel jsem jen odhad „asi tak 5 % uživatelů“.

Zjišťoval jsem u kolegů z AdminIT, kteří se o doménu Zdrojak.cz starají, co se vlastně stalo:

  • problém díky monitoringu detekovali sami; v době, kdy já jsme teprve hledal, kde je problém, oni ho už řešili
  • zatím domény podepisují ručně, obvykle s roční platností; podepisují je vždy při každé editaci, což obvykle stačí, ovšem na Zdrojak.cz se dlouho nic neměnilo, tak podpis vypršel
  • pracují na nasazení řešení, kdy se budou doménu podepisovat automaticky dříve než expirují

Díky. Za mě palec nahoru!

Závěr

Pokud o DNSSEC něco víte, tak vás nejspíš nic z tohoto textu nepřekvapilo. Psal jsem ho pro ty, kdo se s ním, podobně jako já, ještě nesetkali. Možná se teď chcete podívat, jak jsou na tom vaše domény. U těch nověji registrovaných pravděpodobně DNSSEC máte a pokud neprovozujete vlastní doménové servery, nemusíte se o něj starat.

Další informace

Pokud se chcete o DNSSEC dozvědět víc, můžete začít třeba seriálem DNSSEC a bezpečné DNS nebo webem www.dnssec.cz.

Komentáře

Subscribe
Upozornit na
guest
5 Komentářů
Nejstarší
Nejnovější Most Voted
Inline Feedbacks
View all comments
Jakub Bouček

Ano, podobná chyba mě potala už mnohokrát i u mých domén. Naštěstí mám ve všech lokacích nasazené Turrisy, takže jsem zpravidla první, kdo se chytí do pasti.

Sd

To myslíte vážně,?? Takže dodavatel vam zruší doménu na nějaký čas a vy jim date palec nahoru?
Mimochodem toto se asi před víc jak rokem stalo všem cz doménám na WEDOS. Dnssec jim taky expiroval. Od té doby nemám ani jednu jejich doménu na jejich DNS serverech.
Ono to tak nějak odpovídá hodnotě domény. U nás to byla škoda za min. desetitisíce

tewy

Kdo nema spravu ZSK klicu automatizovanou, tak si nic jineho nezaslouzi. Navic uz pres rok jde v .cz domene dokonce automatizovat i spravu KSK klicu a to i bez spoluprace registratora domeny.

Jirka

To mi připomíná, že bych mohl zkusit ten KSK protočit jestli jim to v .cz pořád tak dobře funguje

Enum a statická analýza kódu

Mám jednu univerzální radu pro začínající programátorty. V učení sice neexistují rychlé zkratky, ovšem tuhle radu můžete snadno začít používat a zrychlit tak tempo učení. Tou tajemnou ingrediencí je statická analýza kódu. Ukážeme si to na příkladu enum.

Pocta C64

Za prvopočátek své programátorské kariéry vděčím počítači Commodore 64. Tehdy jsem genialitu návrhu nemohl docenit. Dnes dokážu lehce nahlédnout pod pokličku. Chtěl bych se o to s vámi podělit a vzdát mu hold.