Comments 75
У pdd.yandex.ru было ограничение на 50 доменов
Ок, исправил. Однако, нигде этого не нашел.
Вот здесь например habrahabr.ru/company/yandex/blog/181928/#comment_6321414
pdd.yandex.ru поддерживает A, CNAME, AAAA, TXT, MX, NS, SRV (по крайней мере в селекте в админке они все есть).
И еще у них есть API.
dotster.com позволяет бесплатно управлять DNS включая организацию различных редиректов, однако требуется зарегистрировать хотябы один домен у них
было бы очень интересно найти бесплатный/условно бесплатный сервис DNS с возможностью делать VANITY DNS в пару кликок
было бы очень интересно найти бесплатный/условно бесплатный сервис DNS с возможностью делать VANITY DNS в пару кликок
freedns.ws добавьте
А есть еще biz.mail.ru — там еще раньше домен второго уровня бесплатно регистрировался, не знаю как сейчас.
P.S Это не реклама.
P.S Это не реклама.
Посоветуйте, пожалуйста, что лучше использовать для домашних целей — доступ к owncloud и прочим сервисам. Сейчас использую ***.dlinkddns.com. IP белый, формально динамический, по факту не меняется. Или подскажите, что почитать, был бы благодарен))
Если «по факту не меняется», то зачем вам DDNS? Я использую DNS от Яндекс. Всё работает хорошо.
P.S. Простите за некропостинг.
P.S. Простите за некропостинг.
Уже неактуально) Купил свой домен и радуюсь. Да, если интересно, позавчера как раз публиковал пост о https от Let's Encrypt для доменов даже четвертого уровня. Поднимаем Owncloud с нуля с динамическим IP и Let's Encrypt. Тысяча слонов!*
Ого, пост отличный, у самого в черновиках висит начало, но как-то всё времени не хватало. В общем у меня всё аналогично, только использую Nextcloud. Основное ядро разработчиков ушло туда, фичи там сейчас пилятся быстрее. Хотя на вкус и цвет, конечно.
С SSL вообще отдельная тема. Думаю не написать ли пост на хабре… Хотя уже тут много такого было.
В общем посмотрите сами:
https://www.ssllabs.com/ssltest/analyze.html?d=krasovsky.me
Я сделал автоматический выбор шифров AES256 или ChaCha20. Помимо этого перевел все на ECDSA (Eliptic Curves) и прикрепил два сертификата (на случай, если один отзовут, к примеру), настроил Key Pinning (HPKP). Впрочем всё это видно по ссылке выше.
Шифры у вас довольно топорно указаны, то есть просто перечисление (и в этом нет ничего ошибочного, всё правильно :) ), но можно записать более короткую форму, всего в одну строчку:
EECDH+AESGCM:EECDH+CHACHA20:EECDH+AES256:!AES128
(Нужна поддержка ChaCha20).
С SSL вообще отдельная тема. Думаю не написать ли пост на хабре… Хотя уже тут много такого было.
В общем посмотрите сами:
https://www.ssllabs.com/ssltest/analyze.html?d=krasovsky.me
Я сделал автоматический выбор шифров AES256 или ChaCha20. Помимо этого перевел все на ECDSA (Eliptic Curves) и прикрепил два сертификата (на случай, если один отзовут, к примеру), настроил Key Pinning (HPKP). Впрочем всё это видно по ссылке выше.
Шифры у вас довольно топорно указаны, то есть просто перечисление (и в этом нет ничего ошибочного, всё правильно :) ), но можно записать более короткую форму, всего в одну строчку:
EECDH+AESGCM:EECDH+CHACHA20:EECDH+AES256:!AES128
(Нужна поддержка ChaCha20).
Кстати ещё рекомендую проверить ваш сайт тут:
https://securityheaders.io/
Этот сайт является частью report-uri.io, который, в свою очередь позволяет просто собирать репорты от Content Security Policy и Key Pinning. В общем буквально за час-два можно настроить грамотные политики, при которых кросс-сайтовый скриптинг будет невозможен.
https://securityheaders.io/
Этот сайт является частью report-uri.io, который, в свою очередь позволяет просто собирать репорты от Content Security Policy и Key Pinning. В общем буквально за час-два можно настроить грамотные политики, при которых кросс-сайтовый скриптинг будет невозможен.
Для Primary + Secondary есть еще primaryns.kiev.ua
У cloudflare тоже есть api и куча доп. фич типа кэша, защита от ддос, статистика и т.д.
Было бы не плохо добавить голосование из этих сервисов, интересна их популярность.
Было бы не плохо добавить голосование из этих сервисов, интересна их популярность.
У afraid.org ещё есть dyndns с кучей клиентов под все ОС и простеньким API.
У namecheap.com 3 ns поддерживает A/AAAA/CNAME/MX/TXT/SRV записи, установка TLL.
freedns.afraid.org имеет неприятную особенность подключать к вашему домену левые поддомены других пользователей. Недавно был топик.
добавьте в список xname.org
добавьте в список xname.org
habrahabr.ru/post/200986/#comment_6945108
И это отключается.
И это отключается.
Для secondary-only почти всегда AXFR импортирует всё, что видит, т. е. можно не перечислять поддерживаемые типы записей. Хотя могут и резать.
В частности, для rollernet.us и puck.nether.net могу добавить, что они поддерживают импорт
DNSSEC (записи RRSIG и NSEC) и DANE (записи TLSA или TYPE65468).
Ну а лучший primary для работы с DNSSEC — свой primary, т. к. переподписывать записи придётся часто (пусть даже медленный; а на что ещё кэши dns-resolver-ов?).
В частности, для rollernet.us и puck.nether.net могу добавить, что они поддерживают импорт
DNSSEC (записи RRSIG и NSEC) и DANE (записи TLSA или TYPE65468).
Ну а лучший primary для работы с DNSSEC — свой primary, т. к. переподписывать записи придётся часто (пусть даже медленный; а на что ещё кэши dns-resolver-ов?).
А как на практите сегодня использовать TLSA запись?
Так у TLSA только один сценарий использования: чтобы проверить соответствие сертификата на сервере по DNS-записи. Сделать это можно, например, так:
В идеале должен быть не 8.8.8.8, а более надёжный канал, например, DNSCrypt.
Для Firefox есть расширение для проверки DANE, но сайтов c DANE очень мало. Зато DANE стандартизирован и его можно использовать в любых протоколах с TLS, что делают IRC-клиент Irssi и почтовый агент Postfix.
openssl s_client -connect good.dane.verisignlabs.com:443 </dev/null 2>/dev/null | openssl x509 > cert.pem
TLSSIGN=`openssl x509 -noout -in cert.pem -fingerprint -sha256 | cut -d= -f2 | tr -d :`
# 8.8.8.8 срежет ответ при расхождении подписей DNSSEC
DNSSIGN=`dig +short tlsa _443._tcp.good.dane.verisignlabs.com @8.8.8.8 | awk '{print $4 $5}'`
if [ $TLSSIGN == $DNSSIGN ]; then
echo "Invalid certificate"
# далее используем альтернативный канал
fi
В идеале должен быть не 8.8.8.8, а более надёжный канал, например, DNSCrypt.
Для Firefox есть расширение для проверки DANE, но сайтов c DANE очень мало. Зато DANE стандартизирован и его можно использовать в любых протоколах с TLS, что делают IRC-клиент Irssi и почтовый агент Postfix.
Когда-то черновой вариант DANE работал в хроме, я писал об этом habrahabr.ru/post/138490/
Можно было иметь валидный самоподписанный сертификат. Но когда приняли стандарт, гугл почему-то выбросили эту поддержку из хрома.
И вроде бы всем очевидна полезность DANE, и вот мозилла обсуждает ее внедрение wiki.mozilla.org/Security/DNSSEC-TLS-details Но почему-то никто не спешит внедрять.
Очевидно, что эта технология убивает огромный бизнес SSL-сертификатов. И есть вероятность, что пока живы всякие CA вроде Verisign и Comodo, никакой поддержки DANE не будет.
Можно было иметь валидный самоподписанный сертификат. Но когда приняли стандарт, гугл почему-то выбросили эту поддержку из хрома.
И вроде бы всем очевидна полезность DANE, и вот мозилла обсуждает ее внедрение wiki.mozilla.org/Security/DNSSEC-TLS-details Но почему-то никто не спешит внедрять.
Очевидно, что эта технология убивает огромный бизнес SSL-сертификатов. И есть вероятность, что пока живы всякие CA вроде Verisign и Comodo, никакой поддержки DANE не будет.
Лол, только сейчас заметил ваш ник, а до этого так хотелось дать ссылку на вашу же статью.
Кстати, возможно вы поясните одну вещь, которая до меня не доходит. Предположим, я делегирую у реселлера R01 или RuCenter домен в зоне Ru. В момент подписи генерируется строка DS (dsset), которую мне нужно перенести в специальную графу формы в личном кабинете ресселлера. И тут появляется злоумышленник, генерирует свои ZSK и KSK, по открытому ключу RU и KSK создаёт DS. При этом реселлер может в любой момент по запросу злоумышленника подменить NXDOMAIN и DS-запись. После этого по изменённому адресу NXDOMAIN поднимается сервер, который подменяет A/AAAA-записи на IP злоумышленника. Злоумышленник поднимает на этом IP https-сервер, удостоверяет его самоподписанным сертификатом, а потом ещё и удостоверяет сертификат DANE-записью и подписывает зону по своему ZSK-ключу. В итоге пользователь, чей браузер поддерживает DANE (представим, что такие существуют), даже не получит предупреждения!
Как можно перекладывать доверие на регистраторов? Перед кем они отчитываются, кто проводит аудит? В случае чего регистратор просто скажет, что юзер сам вошёл в панель управления и заменил DS.
Кстати, возможно вы поясните одну вещь, которая до меня не доходит. Предположим, я делегирую у реселлера R01 или RuCenter домен в зоне Ru. В момент подписи генерируется строка DS (dsset), которую мне нужно перенести в специальную графу формы в личном кабинете ресселлера. И тут появляется злоумышленник, генерирует свои ZSK и KSK, по открытому ключу RU и KSK создаёт DS. При этом реселлер может в любой момент по запросу злоумышленника подменить NXDOMAIN и DS-запись. После этого по изменённому адресу NXDOMAIN поднимается сервер, который подменяет A/AAAA-записи на IP злоумышленника. Злоумышленник поднимает на этом IP https-сервер, удостоверяет его самоподписанным сертификатом, а потом ещё и удостоверяет сертификат DANE-записью и подписывает зону по своему ZSK-ключу. В итоге пользователь, чей браузер поддерживает DANE (представим, что такие существуют), даже не получит предупреждения!
Как можно перекладывать доверие на регистраторов? Перед кем они отчитываются, кто проводит аудит? В случае чего регистратор просто скажет, что юзер сам вошёл в панель управления и заменил DS.
Да, в этой схеме предполагается доверять регистратору DS-записи которые он помещает в корневые NS-ы зоны. Но в случае подмены DS невозможно произвести атаку без смены NS-записей. В любом случае незаметно это сделать нельзя.
В текущей схеме ведь так же приходится доверять регистратору NS-записи.
Я держу скрипт который несколько раз в сутки опрашивает корневые сервера зоны на предмет изменения NS-записей для домена и так же изменения whois, и в случае изменений отправляет мне SMS.
Не совсем понял про NXDOMAIN, это ведь ответ что домен не существует.
В текущей схеме ведь так же приходится доверять регистратору NS-записи.
Я держу скрипт который несколько раз в сутки опрашивает корневые сервера зоны на предмет изменения NS-записей для домена и так же изменения whois, и в случае изменений отправляет мне SMS.
Не совсем понял про NXDOMAIN, это ведь ответ что домен не существует.
Оговорился, имел в виду NS, а не NXDOMAIN.
Связка DNSSEC+DANE+самоподписанный сертификат не работает. Это вы из своей сети видите, что NS-записи целы. А для многих администраторов сетей подмена DANE и IP это прекрасный способ внедрить свой самоподписанный сертификат даже без предупреждения браузера. DNSCrypt является медленным и дорогим средством (что на примере OpenDNS отбивается абсолютно неприемлемым способом с точки зрения privacy). Так что не смог бы DANE убить бизнес CA.
Связка DNSSEC+DANE+самоподписанный сертификат не работает. Это вы из своей сети видите, что NS-записи целы. А для многих администраторов сетей подмена DANE и IP это прекрасный способ внедрить свой самоподписанный сертификат даже без предупреждения браузера. DNSCrypt является медленным и дорогим средством (что на примере OpenDNS отбивается абсолютно неприемлемым способом с точки зрения privacy). Так что не смог бы DANE убить бизнес CA.
Это вы из своей сети видите, что NS-записи целы.
Вы имеете в виду, что если атакующий контролирует рекурсивный резолвер который использует юзер, он может выстроить альтернативную цепочку проверки сертификата?
Но это невозможно, так как DS-записи вашего домена на корневых серверах зоны подписаны ключом этой зоны:
dig +trace +dnssec DS zhovner.com
Видно, что DS записи для домена zhovner.com хранящиеся на gtld-servers.net имеют RSSIG.
Поэтому чтобы провести атаку, которую вы описываете, нужно еще завладеть ключом от корневой зоны .ru. Иначе цепочка будет нарушена.
he.net пишет что DNSSEC вероятно будет работаеть при использовании их как secondary, но они не обещают.
Очень не хватает указания минимального TTL. Очень многие регистраторские NS-ы грешат тем, что «изменения будут активированы в течении суток», при этом они реально попадут (по cron-у) в зону через час-другой, а потом (спасибо TTL) будут еще сутки-другие разноситься по просторам Интернета.
Понятно, что возможное значение TTL в единицы или десятки секунд не особо нужно, но 5-10 минут — очень порой выручает. И, да, нужно, чтобы его можно было указывать для каждой записи. Простой пример: для ddns-записи его величина в 5 минут будет в тему, для записи www можно и несколько часов, а то и сутки поставить — скорее всего это не окажется смертельным.
Rackspace, кстати, заявляют не просто о нескольких NS-серверах, но о полноценной поддержки anycast, т.е. информация будет отдана с ближайшего к клиенту их сервера. По сути, у них есть площадки в США, в UK, в Австралии, и в Азии (не уверен) так что почти весь мир их anycast обслуживает вполне быстро ( www.rackspace.com/about/datacenters/ )
Понятно, что возможное значение TTL в единицы или десятки секунд не особо нужно, но 5-10 минут — очень порой выручает. И, да, нужно, чтобы его можно было указывать для каждой записи. Простой пример: для ddns-записи его величина в 5 минут будет в тему, для записи www можно и несколько часов, а то и сутки поставить — скорее всего это не окажется смертельным.
Rackspace, кстати, заявляют не просто о нескольких NS-серверах, но о полноценной поддержки anycast, т.е. информация будет отдана с ближайшего к клиенту их сервера. По сути, у них есть площадки в США, в UK, в Австралии, и в Азии (не уверен) так что почти весь мир их anycast обслуживает вполне быстро ( www.rackspace.com/about/datacenters/ )
К сожалению rackspace dns, нельзя взять и использовать с какими хочешь серваками.
Только для их сереверных ресурсов можно использовать их dns.
Из часто задаваемых вопросов по rackspace dns:
Только для их сереверных ресурсов можно использовать их dns.
Из часто задаваемых вопросов по rackspace dns:
Can this service be used for Dedicated Servers?
No. The Cloud DNS service is only available for Cloud account resources. Managed / Dedicated customers with Rack Connect (i.e. those customers who also have a Cloud account) have access, but can only use the service to manage DNS for their Rackspace Cloud resources.
Опрос бы добавили интересно знать кто чем пользуется. Я пробовал только yandex.ru
Возможно ещё пометить сервисы, позволяющие создать wildcard запись (которая *.example.org)?
У freedns.afraid.org это премиум-фича.
У freedns.afraid.org это премиум-фича.
Большинство предоставляют.
Я обновил таблицу потому, что pointhq стал платным, и мне нужно было куда-то переносить свои домены. Остановился на he.net, т.к. 50 доменов довольно-таки много, много фич, IPv6 и 5 NS. Понравились еще 2ns.info и geoscaling.com. Это «полноценные» NS-сервисы, функциональность полная.
Я обновил таблицу потому, что pointhq стал платным, и мне нужно было куда-то переносить свои домены. Остановился на he.net, т.к. 50 доменов довольно-таки много, много фич, IPv6 и 5 NS. Понравились еще 2ns.info и geoscaling.com. Это «полноценные» NS-сервисы, функциональность полная.
У geoscaling действительно полная функциональность.
Полный доступ к mysql получил минут за 10, слил список юзеров и доменов исключительно ради спортивного интереса. Их там немного, да и подавляющие большинство доменов давно на других днсах.
Ни капельки не удивлюсь, если я не первый, и IP-адреса в ваших A-записях будут меняться произвольным образом. Не советую пользоваться, в общем.
Полный доступ к mysql получил минут за 10, слил список юзеров и доменов исключительно ради спортивного интереса. Их там немного, да и подавляющие большинство доменов давно на других днсах.
Ни капельки не удивлюсь, если я не первый, и IP-адреса в ваших A-записях будут меняться произвольным образом. Не советую пользоваться, в общем.
Расскажите, как вы переезжали с PointHQ?
Меня не пускают никуда кроме выбора оплаты тарифного плана. Экспортировать зону не дают.
Меня не пускают никуда кроме выбора оплаты тарифного плана. Экспортировать зону не дают.
secondary.net.ua — никто не занимается, бывали случаи когда он несколько дней лежал, а единственный человек который из занимается был на рыбалке.
Есть еще gratisdns.dk/ там бесплатен только secondary и панель только на датском языке. Но зато 5 серверов и поддерживает DNSSEC.
Есть еще gratisdns.dk/ там бесплатен только secondary и панель только на датском языке. Но зато 5 серверов и поддерживает DNSSEC.
Я когда регистрировал домен в зоне .IS, то долго не мог подобрать NS-сервера с нужными требованиями. Выручил меня данный сервис: x.is (АААА, LOC, SRV), правда при переносе на него более нагруженного домена, начал ругаться Google на перегруженность DNS-сервера сайта.
Рассмотрите вариант переноса списка из хабратопиков в репозиторий на гитхабе. Их часто стали использовать ведения списков-закладок — удобно принимать пул-реквесты.
selectel.ru — в услугах не значится, но в панели управления пункт меню «домены» присутствует. 4 anycast'овых NS'a (10 географических точек, 5 из них — Киев, Санкт-Петербург, Москва, Екатеринбург, Новосибирск), доступны по IPv6. Для использования NS-ов заказывать какие-либо услуги необязательно.
А у Яндекса честный-честный DNS-сервис? Любые MX-записи дадут сделать? Google Apps подключить? Свою почту навязывать не станут?
У cloudflare есть замечательное API. Использую его именно из-за этого. :)
У ClouDNS есть API.
Кстати, очень доволен их сервисом. Был до этого he и afraid, что-то их колбасило часто когда они работали как secondary.
Кстати, очень доволен их сервисом. Был до этого he и afraid, что-то их колбасило часто когда они работали как secondary.
Эмм, а почему cloudflare записан просто как DNS, это у них вообще боковой функционал, существующий исключительно для реализации основной задачи — CDN+защита WEB-сайтов (DDoS, WAF, etc).
Потому, что это список DNS-сервисов?
А для чего столбец «Доп. фичи», м? Ну и повторю — cloudflare — это не DNS-сервис. Да, там есть такая функция, но использовать cloudflare просто как DNS-сервис было бы довольно глупо. Это примерно как использовать автомобиль как зарядное устройство для телефона.
Но как CDN CF имеет свои моменты, а вот DNS с API, да еще и без денег (т.е. даром) — очень полезная штука.
«Моменты» — это, я, во-первых, про то, что они, в среднем, далековато от России, т.е. от такой CDN-ности не всегда много пользы. Ну и бывает, что они, как всякий кеш, не успевают контент у себя обновить, и отдают старое.
DNS с API вообще не так чтобы часто встречается, вот проблема. И даже не в деньгах дело, просто пока из потребностей человек нужно только поддожиывать DDNS для одной-двух записей, то выбор существенно шире, а вот если хочется скриптами свою зону обновлять, тут призадумываешься…
«Моменты» — это, я, во-первых, про то, что они, в среднем, далековато от России, т.е. от такой CDN-ности не всегда много пользы. Ну и бывает, что они, как всякий кеш, не успевают контент у себя обновить, и отдают старое.
DNS с API вообще не так чтобы часто встречается, вот проблема. И даже не в деньгах дело, просто пока из потребностей человек нужно только поддожиывать DDNS для одной-двух записей, то выбор существенно шире, а вот если хочется скриптами свою зону обновлять, тут призадумываешься…
deleted
Может этот список да на github, чтоб каждый мог дополнить?
Сделал список на github github.com/wavedocs/freedns/
2ns.info уже закрыт, с их сайта
Пожалуйста, обратите внимание, что полное отключение всех функций сервиса и полное закрытие проекта произойдет 31 октября 2014 года.
Самый простой, бесплатный, только А, обновление ссылкой раз в 5 минут: hldns.ru
Sign up to leave a comment.
Список бесплатных DNS-сервисов