1 февраля 2019 года ваш сайт может перестать работать

[InterceptorTSK]

Запасаемся попкорном)
Ну как бы ладно частники, но таки вангую забавы с гос.сектором, ибо тут все как обычно же — «снег идет всегда внезапно, а его и не ждал никто».

И да, дописал чють позже, ну так, что бы поржать)
habr.com — All Ok!
gosuslugi.ru — Serious problem detected!
fssprus.ru — Minor problems detected!
nalog.ru — Fatal error detected!
cikrf.ru — Serious problem detected!
и т.д.
Впрочем даж не надо было и проверять, ибо изначально и так все очевидно чють более чем полностью.

[semen-pro]

rutracker.org: All Ok!
telegram.org: All Ok!
torproject.org: All Ok!
pornhub.com: All Ok!

[SerVB]

dnsflagday.net – OK

[TuMaN1122]

rutracker и pornhub будут жить и я вместе сними))

[Temych]

Эти порталы выживут даже после атомной войны. Заложенная в них суть — максимально помехоустойчива к любым катастрофам (ну почти).

[spaceoberon]

<-sarcasm->Я думаю, что разработчики протоколов под эти сайты и работают. Остальные вынуждены подстраиваться потом))))</-sarcasm->

[Temych]

Ну то, что порно двигает прогресс — об этом, конечно, уже давно известно )
А свободно делиться знаниями — это вообще часть человеческой культуры испокон веков.

[isox]

[CrogST]

Сижу за компом, и тут осенило, а ведь сегодня 1 февраля!
Нашел ваш комментарий, проверил наугад 6 сайтов с Fatal и Serios problems.
Все работает. Как так?

[alukatsky]

Рано еще :-) 1-е февраля — это дата, с которой перестанут поддерживать старые версии протокола. Пока новый софт накатят еще на сервера…

[coramba]

Теперь главное, чтобы когда у них все ляжет, криворукость не объяснили проявлением угроз целостности, устойчивости и безопасности функционирования на территории Российской Федерации сети ’’Интернет” и не стали бы в дальнейшем использовать как «прецедент».
Понимаю, что звучит бредово, но, учитывая современные реалии, совсем исключать такой вариант, боюсь, не стоит.

[wlnx]

Или чтобы товарищи снаружи не объявили, что во всём хайли лайкли виноваты рашен хакерс…

[medotkato]

Боюсь, как бы так и не случилось. Слишком велик соблазн оправдаться внешней угрозой, тем более, что она как бы действительно «извне»:
« — Мы ничего не трогали, но все упало. По имеющимся сообщениям из остальных органов исполнительной власти — таможни, налоговой, прокуратуры — у них все то же. Это не мы!

• Это акт агрессии, Владимир Владимирович...
• Расчехляйте Сармат!»

Мысль можно развернуть ещё дальше: к этому событию и готовились… когда специально ничего портить не надо. Достаточно просто не следить за некоторыми неочевидными тонкостями.

[amarao]

Уголовное дело против организованной кибегруппировки, закоммитившей враждебные патчи по всему миру по команде главаря. Расценивается как терракт и покушение на конституционный строй.

deploying novichok in 5 4 3 2 1

[achekalin]

И сразу за этим прокуратура и суд «провайдеры, предоставьте логи атаки». Ни те, ни другие нифига не поймут, но скажут — «во, мы его поймали!»

[PocketSam]

Абсолютно не бредово. Вы рассуждаете как здравомыслящий человек без шкурного интереса. Но ведь это крайне удобный случай для нагнетания обстановки при реализации своих целей. Разбираться в вопросе почти никто не станет, и для обывателя в любом случае катастрофически сложно будет понять суть проблемы, зато многим придётся столкнуться лично. А личное — это всегда крайне болезненно. Я бы сказал, это единственное, что ещё как-то может добраться до человека через толстую шкуру равнодушия у нас сегодня.

[JBMurloc]

Как раз таки — это совершенно бредово. Поиски повода имели бы смысл, если бы там на западе кто-то считался с нашим мнением. Проверьте ещё раз. Госуслуги починили. Почти всех починили. Не разводите этих дешёвых теорий заговоров на таком серьёзном портале.

[Temych]

РКН же просто объявит это DNS-атакой. А Ашманов — "ЦРУшным трояном".

[vanxant]

(del)

[WeltRogg]

Самое ужасное, что алиэкспресс не будет работать, остальное ерунда.
Да и если серьезно, то все равно ерунда, мне не один гос сайт не нужен, как и сбербанк, главное сервисы гугл и все, больше ничего не нужно.

[Dreamka]

Ага. и начнутся разговоры про злых американских хакеров, ЦРУ и прочее

[JBMurloc]

Gosuslugi — Ok.
https://yadi.sk/i/KbwqZZ8lUFsinw

Не разводите тут теорий заговоров.

[Naves]

Для доменов управляемых DNS-хостингом Яндекса Minor problems detected!
Как так-то.

[alexesDev]

У меня на 3 доменах «Minor problems detected!».
Хотя на один из них при первой проверке был красный.

[medotkato]

И у reg.ru то же самое

[FSA]

Я вот боюсь, что они денежку будут просить за зелёный статус.

[ti1]

Так а что делать-то с этими небольшими проблемами? Быстро не гуглится…

[CoolCmd]

.tk будет тормозить :(

[prs123]

А у меня говорит ОК.

[onegreyonewhite]

У них (сайт для проверки) там баг (или просто не учли). Запись в кеше сохраняется и повторный запрос всегда отвечает «ОК». С телефона не могу проверить, но судя по всему они с клиента запрос делают, а значит повторная проверка или проверкая адреса с долгим ttl может быть неправильная.

[GlassEagle]

Судя по моим сегодняшним экспериментам, ужё учли.

[CoolCmd]

смотри-ка, исправили. нужно такие облавы раз в 3 года устраивать для профилактики. :)

[maxzhurkin]

Ну конечно!
О чём ещё мог написать Мировой Лидер Сетевых Технологий?!
Разумеется, о МегаФэйле.

[alukatsky]

Ну фейла пока нет. Заметка призвана помочь не доводить до фейла :-)

[slonpts]

Даже dnsflagday.net думает, что pocha.ru — slow…

[natan555]

даа..., это ж они в целом оценку дали

[foal]

А давайте сайт rkn.gov.ru чинить не будем…

[Doverchiviy_kot]

А потом РКН скажет сами знаете кому что «Царь батюшка тут вот запад устроил атаку на банки, на ряд сервисов и на наш тоже обрушили свои взгляды басурманские, нужны 2 млрд. для обеспечение безопасности.»

 

[dartraiden]

Нет, вот эти господа скажут, что они всё это предвидели и нужно срочно принимать предложенный законопроект.

Клишас и Луговой внесли законопроект о суверенном Рунете. Эти меры гарантируют работу Рунета при невозможности подключения к зарубежным серверам

[vikarti]

А что — это ТАК проблема не исправимая быстро? Именно невозможность подключения и невозможность это исправить, если специалисты провайдеров действительно понимают что да — надо срочно исправлять проблему (допустим по сценарию «Семь дней в июле» — там один из элементов сюжета — именно то что у всех стран СНГ(+прибалты) интернет между собой — работает, а со всем что было вне — не работает, и не заработает уже, при этом — какой существенной угрозы работе того что осталось — не ожидается, ну кроме того что любой импорт хайтеха — тоже накрылся).

[Cerberuser]

Проблема в том, что к зарубежным серверам всё ещё можно подключиться и невозможно быстро это запретить.

[xakep2011]

Цветовой шум это какой-то шифр?

[SerafimArts]

<irony>Это подпись коммента GPG ключом</irony>

[ilyapirogov]

А зачем им его чинить? После того как rkn.gov.ru и прочие сайты перестанут работать они скажут, что америка саботирует работу госсайтов и выпустят закон запрещающий использование любых DNS серверов, кроме национальных.

[natan555]

а у них домен разве не .no?

[barbashovtd]

Если так ничего и не исправят на гос. сайтах, интересно будет посмотреть, что скажут в новостях))
Ставлю на «Хакерскую атаку США» или «Тёмные силы»

[dartraiden]

Сенатор Клишас скажет «вы смеялись над моим проектом суверенного Рунета, а я предвидел, я предупреждал!».

[Bonio]

Вмешательство в работу российского интернета извне. Формально все так и можно описать. ПО зарубежное, управляется извне, сговор производителей ПО против россии и стабильности российской сети на лицо. Ох, чувствую, так оно все и будет, хороший повод протолкнуть последние «законы», учитывая повальную техническую неграмотность людей, их принимающих.

[kirillrst]

А как из консоли проверить?

[Mixaill]

gitlab.isc.org/isc-projects/DNS-Compliance-Testing

[a0fs]

Люди, которые 2 года боялись заменить ключи корневой зоне, ВНЕЗАПНО решили поломать весь интернет?!.. 0_о
Всё сломается а гугл нашёл из достоверных источников только блогозапись в APNIC?!.. 0_0!!111

Либо мужикам ещё не сказали, что через 2 недели всё сломается, либо ничего не сломается, поскольку интернеты на ушах из-за меньших неприятностей стояли…

[betrachtung]

К счастью, мой сайт уже не работает.

[Cryvage]

Надо бы заранее записать в файл IP адреса основных сервисов. Ну так, на всякий случай.

[barbos6]

Да и вообще весь интернет забэкапить бы.
И закупить, пока недорого, флэшек, почтовых голубей и собачьих упряжек. :)

[Danik-ik]

• Запишите мне на дискету интернет.
• Не получится, интернет-то большой!
• Ну хотя бы за последние два дня.

[fessmage]

Забавно то, что у меня например тестер показывает ок для доменов, резолв которых доверен российскому хостеру, но для aws route 53 — minor issues. Правда на доступность доменов это не должно повлиять —

[yellowmew]

Судя по тестам, AWS отдает неверный ответ на неверный запрос: в данный момент существует только версия EDNS0 а тесты запрашивают EDNS1, которого не существует.
То есть тест спрашивает у Route53 то, чего не существует, и ожидает что AWS Route53 как-то правильно отреагирует

[dewil]

странно, что у них такой кривой тест

[yellowmew]

Мой комментарий, к стыду моему, действительно дает ощущение что «тест кривой».
На самом деле ожидание правильной обработки неверного запроса входит в RFC, но пока что не реализовано у AWS.
Обсуждение: forums.aws.amazon.com/message.jspa?messageID=851817

[Borz]

а кому принадлежит dnsflagday.net? в whois всё обфусцированно: https://www.whois.com/whois/dnsflagday.net

[411]

ucoz.ru: Serious problem detected!

Неееееееееееееееееет

[sergey-b]

Царь хороший — бояре плохие. Вот пруф.

kremlin.ru — All OK
government.ru — All OK
mid.ru — All OK
cbr.ru — Fatal error detected
nalog.ru — Fatal error detected
fsb.ru — Serious problem detected
gosuslugi.ru — Serious problem detected
mil.ru — Serious problem detected
pochta.ru — Serious problem detected
rkn.gov.ru — Serious problem detected

[alukatsky]

Интересно, что government.ru еще вчера был не ОК

[sergey-b]

Видимо, Дмитрий Анатольевич не только Фейсбук читает, но и Хабр.

[alukatsky]

И это не может не радовать

[jaguard]

Уважаемый Димон, верните летние часы. Рассвет в 3 утра надоел.

[Serge3leo]

Кому чего ;) Тогда закат будет в 12 (в 24) ;)

[ainoneko]

Вы так говорите, как будто это что-то плохое ¯\_(ツ)_/¯
(Некоторым надоел закат в 3-4 (в 15-16) зимой и в 8 (в 20) летом.)

[Serge3leo]

Как Тришкин кафтан не дели, те же три тёмных часа летней ночи, всё одно всем не угодишь ;) Чай не на широте Александрии живём ;) Разве что вспомнить греков: всегда ровно 12 часов от рассвета до заката и 12 часов от заката до рассвета, естественно с разной продолжительность дневных и ночных часов.

А полдень должен быть в полдень. За полжизни, лично я как-то смирился, что полдень не в 12:00, а в 13:00 (в Москве пораньше, в Ленинграде попозже).

Но зачем его сдвигать на 14:00?! Причём ещё и беспорядочно двигать туда-сюда по хаотично меняющимся правилам?! Вот к этому за 30 лет этого безобразия, лично я, привыкнуть так и не смог.

Господь сотворил время непрерывным и равномерным и не стоит его корёжить.

[Cerberuser]

Господь сотворил время непрерывным и равномерным

… но потом пришёл Планк и всё опошлил.

[Serge3leo]

Хм. Сильно сказано.

Но, если быть занудным, то опошлил только Эйнштейн в части равномерности. А в части непрерывности ещё никто не сумел, ибо, и у Планка, и у современных струноделателей, два кванта света могут иметь сколь угодно близкие частоты. Так что пока ждём-с настоящих пошляков ;)

[sergey-b]

Вот кстати за реформу исчисления времени ему большое спасибо. Понятно, что на пояса нормально разделить не получится. Как ни распредели, одним обязательно будет плохо зимой, а другим — летом. Но вот отмена летнего времени, это безусловная правильная мера. Устранили анахронизм, унаследованный с XIX века.

[MTyrz]

Этот анахронизм ввели годах в восьмидесятых, и никак не девятнадцатого века.
Пишут, конечно, что еще с 1917 по 1921-й, но тогда время такое было: военный коммунизм, гражданка, интервенция, голод, тиф, бандиты, летнее время…

[Temych]

Да, а потом тяжело вздыхая, открывает серверную консоль и поправляет за всеми баги…

[eeeesite]

Я уже с ног сбился пытаясь подготовиться к проблеме.
Умрут сотни старых хороших сайтов на которые я иногда захожу.
Я пытаюсь найти решение проблемы.
Первая попытка скачать whois базу на всякий случай. Однако она большая. И более-менее приличные (начиная с более 50 миллионов) стоят приличных денег например 500-1000$.
Например по запросу в гугле whois databasedownload:
www.whoisxmlapi.com/whois-database-download.php
iqwhois.com/whois-database-download
…
или например более старые: Часть ищеться по вебархиву
pir.org/resources/file-zone-access
www.neustar.biz/resources/faqs/domain-name-registry
www.nic.coop/agreements.aspx
info.info/about/registrant-faqs
За те дни которые остались я только в лучшем случае успею найти малую часть нужных адресов.

Однако даже если я найду приличную дешевую или бесплатную бд остается вопрос к очень старым сайтам. И на будущее.
Будет ли, например хозяин старого сайта заморачиваться с этим. И не закроет ли он вообще его?
Открывать все свои десятки тысяч закладок и пытаться сохранить все их в вебархив? Я точно не успею. Есть ли подобное решение быстро сохранить в вебархив?

Возможно ли какое-нибудь решение? Например сайт-сервис который после этого дня даст возможность найти ip адрес к заблокированному доменному имени и зайти через него который точно будет работать после DNS Flag Day?
Можно ли будет получить ip адрес из домена после этого дня? Я не сисадмин поэтому прошу пояснить мне это.
Многие сайты которым много лет и полузаброшены, но них много информации. Например по программированию.
И я сомневаюсь что их владельцы которые заходят раз в год читали этот пост.

Столько проблемных сайтов что мне кажется что отвалиться половина интернета кроме самых посещаемых сайтов.
Это уже который раз за пару этих лет я сбиваюсь с ног(Meltdown… Блокировка telegram..) Я уже боюсь что будет далее.
Все старое убивается с невероятной скоростью.

Обновлено в процессе написания:
Кстати минимальное решение уже найдено: Не качать базу данных а вводить в поиск на том же www.whoisxmlapi.com/whois-database-download.php
Однако все же хотелось спросить о 100% возможности найти адрес после DNS Flag Day программными средствами.

Таким образом пока что единственный вариант противодействовать DNS Flag Day это использовать базу whois и вставлять ip вручную.

Новая идея:
Было бы неплохо автоматизировать превращение введенных названий сайтов из списка whois в ip адрес: например создать браузерный плагин для этого и распространить его среди пользователей. Это было бы отличным решением для старых сайтов которые скорее всего никогда не проведут обновление.

[Cerberuser]

Таким образом пока что единственный вариант противодействовать DNS Flag Day это использовать базу whois и вставлять ip вручную.

… и тот не сработает для ситуации нескольких сайтов на одном IP. Придётся руками файл hosts править.

[eeeesite]

В таком случае не поможет ли редактирование hosts через браузерный плагин, например: Соединив этот плагин с whois api. И кнопку перехода.
Попытки кажется уже были.
Например поиск гугла:programm edit hosts filefirefox plugin

Manage Hosts Files From Within Firefox — gHacks Tech News
или
Hosts file — Google Chrome
…

Вероятность создания плагина для браузера(В автоматическом режиме) для обхода этой проблемы как по мне достаточно высока.

[402d]

Немного странно, что Вы решили использовать whois.
Этот сервис возвращает имя(ена) nserver. Не ip адрес сайта.
Ситуация когда whois возвращает еще и ip существует, но это по разряду исключений
nserver: ns1.sitename.zone. xx.xx.xx.xx
nserver: ns2.sitename.zone. yy.yy.yy.yy

[eeeesite]

Уже нашел более лучшие решения:
Например вот список пар dns-ip: dns-database-download.whoisxmlapi.com
как раз несколько 1.2 миллиона платно и 10 тысяч бесплатно.
Сейчас занят поиском таких вот баз данных dns.
Конечно 1.2 миллиона мало. Но это только 1 из вариантов.

[sergey-b]

Можете привести пример хотя бы одного сайта, который умрет? По-моему DNS — это функция DNS-провайдеров и хостеров, которые никуда не денутся.

[alukatsky]

Есть организации, которые не доверяют внешним DNS-провайдерам и которые ставят свои DNS-сервера. Или есть госуха, которых обслуживает один DNS-провайдер. В этих случаях могут быть проблемы

[sergey-b]

Это понятно. Речь не о сайтах компаний с криворукими админами. Им руки распрямят в течение 1-й недели февраля.

Речь о гипотетических полезных неподдерживаемых сайтах, которые, если верить eeeesite, пропадут навсегда.

[alukatsky]

А фиг знает. Я философски на это все смотрю :-) Буду больше читать книжек

[Serge3leo]

Например, ednscomp.isc.org/ednscomp/ef8714a534

[Gamliel_Fishkin]

[GlassEagle]

Там опечатка — должно быть не FIFTEEN, а FIFTY.

[ainoneko]

Где-то было про аналитика, который говорил что-то вроде «Ко мне каждый год приходили алармисты и обещали мировую войну в следующем году. Я им не верил. За первую половину XX века я ошибся всего 2 раза.»

[Gamliel_Fishkin]

Если часы стоя́т, то дважды в сутки они показывают правильное время — надо только вовремя посмотреть на них (Приключения капитана Врунгеля).

[Serge3leo]

Возможно ли какое-нибудь решение? Например сайт-сервис который после этого дня даст возможность найти ip адрес к заблокированному доменному имени и зайти через него который точно будет работать после DNS Flag Day?

Поставьте себе свой кэширующий DNS сервер с BIND 9.12.3 и настройте его для разрешения DNS запросов для всех своих компьютеров. Делов-то ;)

[InterceptorTSK]

Ждем про это дело статью, делов-то…
Особенно про установку на вёнду пожалуйста не забудьте.

[Serge3leo]

Возникнет проблема, будет и статья, и не одна ;) Только сдаётся мне, судя по молчанию того же Яндекс DNS, что многие публичные DNS сервера будут поддерживать устаревшие домены ещё долго, долго.

[VanquisherWinbringer]

Вспомнил новые звездные войны — «Пусть старое умрет. Дай ему умереть». :)

[zikkuratvk]

Что то мне подсказывает, что проблема не проблема. И интернет 1 февраля не заметит разницы по сравнению с предыдущим днем.

[eeeesite]

Интернет может не заметить, но я точно замечу. Я часто читаю материалы многих старых сайтов. Часть информации с годами не меняется.Иногда ценность даже вырастает.

Иногда заходишь на старый сайт который каким-то чудом дожил до современности и сразу становиться светлее на душе. В конце концов старое будет утеряно. :(

Часть людей точно заметит. Если использовать только самые популярные сайты — в таком случае я соглашусь с вами.

[alukatsky]

Дело же не в том, когда был создан сайт, а какого DNS-провайдера этот сайт использует. Использует Google и все будет пучком

[KanuTaH]

Вопрос не в сайтах, а в DNS-зонах, точнее, в тех, кто их хостит. Если зона даже ооочень старого сайта находится на DNS-серверах какого-нибудь относительно популярного массового DNS-хостинга, который вовремя обновляет свои BINDы (или что у него там) и не балуется сверх меры с настройками файрвола, то этим сайтам абсолютно ничего не угрожает. Если же хозяин сайта хостит домен сам на домашней машине на BIND 8 родом из 90-х, то тогда проблемы само собой будут, но, я думаю, таких все же меньшинство.

[alukatsky]

В массе своей да. Проблемы будут у тех, кто свой DNS использует по принципу «поставил и забыл» или у тех, кто не проверяет актуальность правил МСЭ. Я не думаю, что у многих свой собственный DNS. В массе своей все используют популярных DNS-провайдеров, которые должны будут обновиться. Поэтому это не проблема, а напоминание

[OasisInDesert]

Дает ошибку «Invalid input or other unexpected error, sorry!»
Возможно сервис перегружен.

[im_stD]

Без протокола пишите.

[402d]

а вот ns2.reg.ru. почти все ок, кроме
dns=ok edns=ok,nsid edns1=noerror,badversion,soa,nsid edns@512=ok ednsopt=ok,nsid edns1opt=noerror,badversion,soa,nsid do=ok ednsflags=ok,nsid docookie=ok edns512tcp=ok optlist=ok,nsid (ns8.reg.ru)

а ns1.reg.ru все строки похожие на то, что выше
Проверяю другим сервисом и вижу, что
SOA Serial Number Format is Invalid
ns1.reg.ru reported Serial 1529996645: Suggested serial format year was 1529 which is before 1970.

Так, что если NS от регистратора, то часть их серверов может быть неправильно настроена.

[KanuTaH]

Насколько я помню, требование к serial зоны ровно одно — чтобы он увеличивался при каждом изменении ее содержимого. Да, существуют рекомендации по построению serial в виде YYYYMMDDNN, но это просто вопрос удобства в плане читабельности, и не обязательно для корректного функционирования DNS. Это скорее вопрос к сервису-проверялке, почему у него такие требования странные. Serial от reg.ru сам по себе вполне валиден.

[402d]

Это было как пример к чему придирается.

[sergey-b]

Кто еще не успел, закупайтесь быстрее. Время не ждет.

aliexpress.com — Fatal error detected

[nebster21]

Привет всем.Я новичёк и могли вы бы мне порекемендовать что изучать с начала? Заранее спасибо(мне 12)

[Cerberuser]

В контексте этой статьи? Полагаю — уровни модели OSI, в первую очередь, чтобы понимать, на чём всё это вообще основано. Потом, вероятно, есть смысл заняться практикой — ну, хотя бы и свою реализацию какого-нибудь протокола написать (пользуясь предоставленными системой нижележащими реализациями), HTTP поверх TCP/IP, к примеру.

[artemlight]

В 12 модель OSI многовато.
Зато основы computer science в самый раз.
Из своей средней школы я помню олимпиадные задачки на комбинаторику, пересечения прямых, перевод систем счисления, рекурсию итд.
Вот они здорово помогли в свое время набрать базу, и далее двигаться самостоятельно.
Ботай математику и какой-нибудь питон\паскаль\на чем там сейчас учат. Сначала процедурное программирование, потом ООП, потыкайся немного в СУБД.
И самое главное — учи английский язык, потом вырастешь и поймешь как это было важно. Читай stackoverflow, учись задавать вопросы хотя бы с переводчиком. Если всё будешь делать правильно — в 21-22 года уже будет отличная работа и куча перспектив.

[xPomaHx]

Я в 12 анимировал члены в поверпаите.

[gkorzhuk]

Поддержка резолвинга для NS без поддержки EDNS будет отключена на публичных резолверах навроде 8.8.8.8 и 1.1.1.1 (полный список есть на dnsflagday.net). Выглядит довольно странно, ибо в результате этого резолверы точно потеряют часть клиентов — «на восьмерках не резолвит, а вот у 1.2.3.4 — резолвит!». Мне понятно стремление к лучшему, но непонятен метод достижения через «давайте сломаем, а они как-нибудь с горящей жопой починят».

Ну и уж тем более все заинтересованные в использовании старых NS могут поставить себе резолвер, и резолвить как угодно и с поддержкой чего угодно.

[alukatsky]

EDNS в 2013-м приняли. Учитывая стремление к повальной безопасности в Интернет и внедрению DNSSEC, DNS cookies и т.п., вполне понятно, что должно было наступить время, когда за соответствие стандарту возьмутся всерьез. Вот и взялись.

[askhats]

Я так думал, что самый распространенный сервер DNS это BIND. На dnsflagday.net написано, что EDNS поддерживается начиная с «BIND 9.13.3 (development) and 9.14.0 (production)». При этом на isc.org последний stable это 9.12. И как быть? Ставить нестабильную версию?

[alukatsky]

9.13 до конца января должна быть выпущена

[Serge3leo]

Там написано не так, с этих версий они перестают работать навстречу с BIND ранних версий до 9.0.0 и 8.3.0.

А для более менее «спокойной жизни» требуется проверить, что на ваших DNS серверах установлен BIND версий 9.0.0 и 8.3.0 или выше.

[khim]

EDNS поддерживается с каких-то очень старых версий. Указанные версии перестанут поддерживать старый протокол.

[kRosis]

У меня вообще bind9/stable,stable,now 1:9.10.3.dfsg.P4-12.3+deb9u4 amd64 [installed]
На dnsflagday.net пишет всё ок.

[oxff]

Не знаю как насчёт Cloudflare, а для Google это никогда не было проблемой. Захотят -завтра совсем отключат. Большинство сервисов (не связанных непосредственно с рекламной деятельностью) не приносят прибыли компании. Они говорят что это just for fun, попытка сделать мир чуточку лучше.

[BasilioCat]

Ну да, корпорация добра. Сбор информации о посещаемых сайтах непосредственно связан с рекламной деятельностью.

[Khisrav]

Спасибо, CloudFlare!!! :)

[berdck]

Подскажите, а за какое время до 1 февраля стоит трясти своего хостинг провайдера, чтоб все работало, как надо?

[alukatsky]

А у вашего провайдера проблемы? Если нет, то и не надо его трясти. А если проблемы, то трясите уже сейчас или сами поменяйте себе DNS на непровайдерские

[KBVpneofit]

а что там с моим любимым хабом?

[402d]

Одно слово журналисты.
Вот если просто бы написали:
Вниманию системных администраторов. В новых версиях Bind, Knot Resolver, PowerDNS и Unbound, выпущенных после 1.02.2019 ответы NS серверов, которые не соответствуют стандарту EDNS будут отбрасываться как не достоверные.

Что реально может сломаться первого февраля, если выльют релиз ?
Ваш роутер обновит прошивку. Возможно, но я не знаю моделей, которые
прошивки обновляют сами. Как лечить? Указать другой DNS вместо 192.168.x.1

У вашего провайдера? И прям одновременно у всех публичных днс?

Спокойнее. Просто примите инфу к сведению.

Если где-то что-то отвалиться, то лечиться downgradом версий.
Акция или сдуется или народ просто перестанет обновлять bind и т.п.

[Serge3leo]

На сайте dnsflagday.net есть фраза «On or around Feb 1st, 2019… Also public DNS providers listed below will disable workarounds», если это действительно так, то ввиду широкой распространённости пользовательских настроек типа: 1.1.1.1 или 77.88.8.8, работа доменов с неправильными DNS серверами будет затруднена или заблокирована.

Однако, вроде как, на конференциях выступали только производители ПО, а откуда следует, что публичные DNS сервера поддержат 1 февраля не очень понятно.

[alukatsky]

Google в списке тех, кто поддерживает эту инициативу. Cisco с Umbrella. CloudFlare. Ну а дальше остается только ждать :-)

[Serge3leo]

Их кое-кто внёс список. А что они сами на сей счёт думают они высказали ли?

[alukatsky]

В смысле их кое-кто внес в список? Бех их согласия?

[Ghool]

Zuxel умеют автообновление. А ваш коммент в целом — это «авось не сразу сдохнет».

Для большой компании (а так же для хорошего админа!) пол часа простоя — это недопустимо, а значит надо решать такие проблемы ДО их наступления.

[402d]

по пробую еще раз сформулировать свою мысль
Здесь в комментариях проскочили приготовления к армагеддону интернета.
Срочно выкачивайте whois. Хотя информация представленная в нем
носит СПРАВОЧНЫЙ характер и при ресолве домена в ип не используется.
Вообще whois протокол имхо самый не стандартизированный. Многие зоны
даже не поддерживают запрос по 43 порту. Зачем выкачивать, то что не меняется?

Я бы описал, то что предстоит, как зомби апокалипсис НАОБОРОТ.
В течении некоторого периода времени кривонастроенные сайты
выпадут из индекса поисковиков.

Если мы знаем про такого зомби или нашли ссылку на него,
то придется освоить несколько заклинаний некроманта.

whois, nslookup, etc/hosts

А живые проекты со временем исправятся.

[Ghool]

Ну почему же армагеддону.
Человек решил, что хочет иметь доступ и к сайтам, чьи владельцы не озаботятся их состоянием.
Как я понял, если эта ситуация наступит — получить IP из имени для такого сайта будет гемморойно.
Человек решил решить вопрос кардинально — слить всю базу, что бы не составлять список всех сайтов, которые ему могут понадобиться.

[Serge3leo]

Алексей, я так понял, dnsflagday.net отражает точку зрения производителей ПО о производственых планах. А были ли публичные высказывания собственно самих Google DNS, Яндекс DNS и др.? Собираются ли они вообще обновляться и когда?

Неужто aliexpress перестанет быть доступным, скажем, через Google DNS и придётся переключаться, скажем, на Яндекс DNS или наоборот?

[alukatsky]

Почему производителей? Там в списке поддерживающих Google, Cisco, CloudFlare. Яндекс поддерживает EDNS.

[Serge3leo]

Все доклады на которые есть ссылки — от производителей, а ссылок на доклады или публичные выступления Google или Яндекс в части планов и порядка перехода на новые опасные версии нет же.

Яндекс DNS, конечно же давно поддерживает EDNS, но, как и все остальные, отлично работает с традиционными DNS серверами. Мне так кажется, что если бы они собирались переходить на эти новые версии, то они бы публично б написали бы: семейные сервера 77.88.8.7/3 перестают обрабатывать устаревшие домены в таком-то году, безопасные сервера 77.88.8.88/2 в таком-то году, базовые сервера 77.88.8.8/1 в этаком году. При возникновении проблем с теми или иными сайтами, пользователи могут изменить используемые сервера Яндекс DNS.

Но ведь этого нет же? Похоже, Яндекс DNS собирается работать со старыми DNS серверами ещё достаточно долго. Да и насчёт Google тоже как-то не верится, что они будут стрелять себе в ногу.

P.S.
«On or around Feb 1st, 2019» это ж может быть и к 2038 ;)

[alukatsky]

Google в списке тех, кто поддерживает инициативу и перейдет

[Serge3leo]

Дык, а кто её не поддерживает? Дело доброе, но как Google понимает слово «around»? Год, два, пятилетка, 2038 год? Какие планы перехода конкретно озвучил сам Google?

[alukatsky]

Да фиг знает :-)

[ma3xxx]

1.1.1.1 — Cloudflare & APNIC DNS присоединайтесь

Cloudflare управляет одной из самых больших и быстрых сетей в мире. APNIC — некоммерческая организация, управляющая распределением IP-адресов в регионах Азиатско-Тихоокеанского региона и Океании.

[Serge3leo]

А оно гарантирует совместимость с традиционными DNS серверами? И в течении какого срока? А то их на dnsflagday.net тоже внесли в список экстремалов экспериментаторов.

[Serge3leo]

Антиресно, быть может, кто-то уже создал специальный тестовый домен, типа нет-EDNS.рф с BIND 8.2 или ниже. Просто, что б можно было мониторить будут ли его распознавать те или иные публичные DNS сервера?

[unwrecker]

Ой, как внезапно. Про ДНС от регистратора домена говорит что slow, а про свежеподнятый bind — fatal error. Намечается веселье...

[alukatsky]

Так текущая стабильная версия BIND еще не поддерживает

[encyclopedist]

Поддерживает, не вводите в заблуждение. Версии которые указаны на сайте перестанут общаться с пре-EDNS серверами.

[alukatsky]

Да, моя ошибка. Спасибо

[PavelBelyaev]

Обновил bind на debian9, проходит валидацию, но любопытно, часть доменов у меня на dns от reg.ru и там пишет Minor problems detected!

[vesper-bot]

WS2012R2 в качестве DNS-сервера: minor problems. Так какой такой байнд на нем обновить?

[busuzima]

bmw.de — Serious problem detected!
bmw.ru — All ok!
Может написать немцам имейл?

[busuzima]

aliexpress.com: Fatal error detected!

[sergix]

Ребята с ретейла, у меня для вас 2 новости, одна хорошая, другая плохая)
1. 1-ofd.ru: All Ok!
2. egais.ru: Serious problem detected! (Пора брать отпуск)

[be1ay]

Выдыхаем
gosuslugi.ru: All Ok!

А то 1 февраля прием заявлений в школы, вот это было бы грустно если бы сайт не работал. Но похоже читают Хабр.

[velvetdust]

asv.org.ru Serious problem detected!
cbr.ru Serious problem detected!
council.gov.ru Serious problem detected!
customs.ru Fatal error detected!
duma.gov.ru Serious problem detected!
fish.gov.ru Serious problem detected!
fsb.ru Serious problem detected!
mcx.ru Fatal error detected!
minenergo.gov.ru Serious problem detected!
minfin.ru Serious problem detected!
minobrnauki.gov.ru Fatal error detected!
mnr.gov.ru Fatal error detected!
orfi.ru Serious problem detected!
pfrf.ru Fatal error detected!
tpprf.ru Serious problem detected!

Еще некоторые *.gov.ru почему-то не получается проверить через этот сайт:

audit.gov.ru no result
doc.rzd.ru no result
fl.customs.ru no result
genproc.gov.ru no result

и т.п.

[Yurush]

А если вернуться к самым первым строчкам сообщения Алексея, то один из вариантов решения проблемы, для конкретной компании — это, например, триальный тест Umbrella с конца января.
;)

[AxisPod]

Опа, steam — Serious problem detected!

[Amiosan]

Хостеры!

reg.ru: Minor problems detected!
sweb.ru: All Ok!

[xRevolveRx]

Мои сайты выжили. Домены на RU Center, а сами сайты на sprinthost.

[alukatsky]

Рано еще :-) 1-е февраля — это дата, с которой перестанут поддерживать старые версии протокола. Пока новый софт накатят еще на сервера…

[Serge3leo]

Ну, наверное, к 2038 точно накатят, что б дважды не вставать. Или кто-то из Яндекс/Google/1.1.1.1 конкретные планы/сроки озвучил?

А ISC пока ж даже новой версии bind ещё и не выпустил ж ;)

[SamsonovAnton]

Прошёл ещё месяц. Кто-нибудь заметил ухудшение, реально связанное с данной темой?

По-моему, сам тест ednscomp.isc.org слегка невменяемый: ему мерещятся проблемы на пустом месте. Например, мой DNS-сервер подключён через двух провайдеров с фиксированными адресами IPv4, плюс ещё IPv6 через туннели: на одном 6to4 и 6in4, на другом два 6in4 через разных брокеров. Казалось бы, уж если где и должен возникать затык, то на туннелях IPv6, но тест стабильно помечает красным только IPv4 одного из провайдеров (кроме результата edns512tcp). Это если просто указать имя доменной зоны, чтобы протестировались все серверы. Если же дополнительно указать проблемный IPv4-адрес или доменное имя для него, чтобы проверить конкретно этот сетевой интерфейс сервера, то волшебным образом все тесты проходят успешно — ни одного тайм-аута или иной ошибки. Не говоря уже о том, что самостоятельная проверка с арендуемого за рубежом сервера тоже проходит без проблем.

Вот ещё свидетельство очевидца:

Три NS поддерживают четыре домена. Для трёх доменов ответ Good, для четвёртого — Slow. В логах — timeout для одного ответа, причём только по IPv4; по IPv6 этот же NS отвечает, что всё ok.

Так что к результатам подобных тестирований надо относиться осторожно. Например, мой NTP-сервер регулярно вылетает из российского пула потому, что станция мониторинга в Лос Анджелесе не может сюда пробиться. И наоборот, именно потому что автоматически выбранная точка тестирования из России не имела со мной связи по IPv6, какой-то сайт (возможно, test-ipv6.com) категорически заявлял мне, что с IPv6 у меня большие проблемы — пока я не догадался посмотреть результаты тестирования со всех точек присутствия: и оказалось, что из 50 раскиданных по миру точек у меня нет связи лишь с 4. Вот такая беспощадная логика.