Комментарии 3
Обратная сторона этого, невозможность работы глобального adblock — пример adguard, либо подменять корневой сертификат.
Тут (как, впрочем, в большинстве статей на эту тему) не упомянуто, что DNSSEC и DoT/DoH в нынешней реализации работают на разных участках:
Есть плагины к браузерам, которые проверяют корректность подписи DNSSEC, но это только для браузеров, плюс их надо дополнительно устанавливать — в общем, совершенно маргинальная история.
Есть предложения по реализации DoT/DoH на авторитативных серверах, чтобы рекурсоры использовали его для своих запросов — но пока что это только предложения.
Таким образом, на нынешний момент эти технологии никак не пересекаются, и в нулевом приближении друг друга дополняют. Почему в нулевом приближении — дело в том, что если стандартная библиотека использует system-wide настройки DNS, то DoT/DoH часто пользуются своими серверами. При этом у разных программ могут быть свои DoT/DoH-сервера. И пока что единых подходов по конфигурированию этого дела нет. Поэтому очень легко попасть в ситуацию, когда что-то ломается. Например:
В общем, если к рекомендации использовать DNSSEC я присоединюсь, то по поводу DoT/DoH — тут стоит проявить определённую осторожность, чтобы не огрести сразу много приключений. Ну и стоит помнить, что это не технологии «запустил и забыл» (вспоминается пример банка, который решительным движением запустил DNSSEC, а через некоторое время взял, и просто добавил запись в свою зону как делал это всегда — что, разумеется, всё поломало, так что банк точно так же немедленно и решительно от DNSSEC отказался).
- DNSSEC начинается с авторитативных серверов, и оканчивается на рекурсивном сервере клиента, и проверяется им же;
- DoT/DoT работает между клиентом и его рекурсивным сервером.
Есть плагины к браузерам, которые проверяют корректность подписи DNSSEC, но это только для браузеров, плюс их надо дополнительно устанавливать — в общем, совершенно маргинальная история.
Есть предложения по реализации DoT/DoH на авторитативных серверах, чтобы рекурсоры использовали его для своих запросов — но пока что это только предложения.
Таким образом, на нынешний момент эти технологии никак не пересекаются, и в нулевом приближении друг друга дополняют. Почему в нулевом приближении — дело в том, что если стандартная библиотека использует system-wide настройки DNS, то DoT/DoH часто пользуются своими серверами. При этом у разных программ могут быть свои DoT/DoH-сервера. И пока что единых подходов по конфигурированию этого дела нет. Поэтому очень легко попасть в ситуацию, когда что-то ломается. Например:
- разные продукты пользуются разными рекурсивными серверами, и получают разные результаты,
- в корпоративном окружении для каких-то продуктов оказываются не видны все внутренние имена, так как они должны резолвиться через локальный сервер, а эти продукты используют внешний сервер для DoT/DoH,
- (история не про xSU, но кое-где это уже критично) ломается DNS64.
В общем, если к рекомендации использовать DNSSEC я присоединюсь, то по поводу DoT/DoH — тут стоит проявить определённую осторожность, чтобы не огрести сразу много приключений. Ну и стоит помнить, что это не технологии «запустил и забыл» (вспоминается пример банка, который решительным движением запустил DNSSEC, а через некоторое время взял, и просто добавил запись в свою зону как делал это всегда — что, разумеется, всё поломало, так что банк точно так же немедленно и решительно от DNSSEC отказался).
Сейчас еще одна актуальная беда с DNS выросла до огромных масштабов — прописывание своих DNS записей в чужие домены сразу после регистрации домена и до того, как владелец домена успел прописать свои данные. Особенно в этом плане отличились MAIL.RU — больше всего перехватов от этой нехорошей компании.
Суть проблемы в том, что если при регистрации домена указать DNS хостера и при этом не прописать в самом DNS записи о домене, то мошенники могут зарегистрировать хостинг у хостера и если DNS общие, прописать туда свои данные. И это настолько глобальная проблема, что регистрируя десяток доменов, на следующий день они уже все ведут на MAIL.RU и других хитрозадых.
После такого захвата Вы не можете, просто, прописать свои данные, т.к. домен закрепляется за аккаунтом MAIL.RU у хостера и для его возврата нужно писать в поддержку.
Суть проблемы в том, что если при регистрации домена указать DNS хостера и при этом не прописать в самом DNS записи о домене, то мошенники могут зарегистрировать хостинг у хостера и если DNS общие, прописать туда свои данные. И это настолько глобальная проблема, что регистрируя десяток доменов, на следующий день они уже все ведут на MAIL.RU и других хитрозадых.
После такого захвата Вы не можете, просто, прописать свои данные, т.к. домен закрепляется за аккаунтом MAIL.RU у хостера и для его возврата нужно писать в поддержку.
ozz.su. 3599 TXT «v=spf1 ip4:31.31.198.90 a mx ~all» 8.8.8.8 (36 msec)
ozz.su. 3599 A 94.100.180.200 mail.ru 8.8.8.8 (36 msec)
ozz.su. 3599 NS ns5.hosting.reg.ru 8.8.8.8 (36 msec)
Ответ Https://ozz.su → Основной робот Яндекса
Код статуса HTTP 302 Found
Время ответа сервера 11 мс
IP сайта 94.100.180.200
Кодировка UTF-8(unicode-1-1-utf-8, UTF8)
Размер страницы 37 Б
Статус SSL-сертификата
Сертификат уже выдан другому сайту.
Server: nginx/1.14.1
Date: Tue, 15 Sep 2020 12:23:58 GMT
Content-Type: text/html
Content-Length: 37
Connection: keep-alive
Location: mail.ru
Set-Cookie: mrcu=0ACE5F60B25E1BFEA4BC078E088D; expires=Fri, 13 Sep 2030 12:23:58 GMT; path=/; domain=.mail.ru; Secure; HttpOnly; SameSite=None
Cache-Control: no-cache,no-store,must-revalidate
Pragma: no-cache
Expires: Mon, 16 Sep 2019 12:23:58 GMT
Last-Modified: Tue, 15 Sep 2020 15:23:58 GMT
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-Host: lf14.m.smailru.net
X-ETime: 0.001
Content-Security-Policy-Report-Only: default-src *.adlooxtracking.com *.adsafeprotected.com *.doubleverify.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.serving-sys.com an.yandex.ru cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org jstracer.yandex.ru mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz strm.yandex.ru yandex.ru yandex.st yastat.net yastatic.net; script-src *.adlooxtracking.com *.adsafeprotected.com *.criteo.com *.doubleclick.net *.doubleverify.com *.dvtps.com *.googleadservices.com *.googlesyndication.com *.googletagservices.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.odnoklassniki.ru *.serving-sys.com *.vk.com an.yandex.ru cdn.ampproject.org cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru vk.com yandex.ru yandex.st yastat.net yastatic.net 'unsafe-eval' 'unsafe-inline'; connect-src *.adlooxtracking.com *.adsafeprotected.com *.criteo.com *.doubleverify.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.serving-sys.com an.yandex.ru cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org jstracer.yandex.ru mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru strm.yandex.ru yandex.ru yandex.st yastat.net yastatic.net; img-src data: blob: *; media-src *.imgsmail.ru *.mail.ru *.mradx.net *.ok.ru *.strm.yandex.ru *.vk.com *.yandex.net coubsecure-s.akamaihd.net data: mail.ru ok.ru strm.yandex.ru vk.com yandex.ru yandex.st yastat.net yastatic.net; style-src *.imgsmail.ru *.mail.ru *.mradx.net blob: cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org yandex.st yastat.net yastatic.net 'unsafe-eval' 'unsafe-inline'; font-src *.imgsmail.ru *.mail.ru *.mradx.net an.yandex.ru blob: data: https: yastat.net yastatic.net 'self'; frame-src *.criteo.com *.doubleclick.net *.doubleverify.com *.mail.ru *.mradx.net *.ok.ru *.vk.com *.yandex.ru *.yandexadexchange.net awaps.yandex.net mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru vk.com yandexadexchange.net yastat.net yastatic.net; report-uri cspreport.mail.ru/splash?v=10.08.20;
Content-Security-Policy: default-src *.adlooxtracking.com *.adsafeprotected.com *.doubleverify.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.serving-sys.com an.yandex.ru cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org jstracer.yandex.ru mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz strm.yandex.ru yandex.ru yandex.st yastat.net yastatic.net; script-src *.adlooxtracking.com *.adsafeprotected.com *.criteo.com *.doubleclick.net *.doubleverify.com *.dvtps.com *.googleadservices.com *.googlesyndication.com *.googletagservices.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.odnoklassniki.ru *.serving-sys.com *.vk.com an.yandex.ru cdn.ampproject.org cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru vk.com yandex.ru yandex.st yastat.net yastatic.net 'unsafe-eval' 'unsafe-inline'; connect-src *.adlooxtracking.com *.adsafeprotected.com *.criteo.com *.doubleverify.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.serving-sys.com an.yandex.ru cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org jstracer.yandex.ru mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru strm.yandex.ru yandex.ru yandex.st yastat.net yastatic.net; img-src data: blob: *; media-src *.imgsmail.ru *.mail.ru *.mradx.net *.ok.ru *.strm.yandex.ru *.vk.com *.yandex.net coubsecure-s.akamaihd.net data: mail.ru ok.ru strm.yandex.ru vk.com yandex.ru yandex.st yastat.net yastatic.net; style-src *.imgsmail.ru *.mail.ru *.mradx.net blob: cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org yandex.st yastat.net yastatic.net 'unsafe-eval' 'unsafe-inline'; font-src *.imgsmail.ru *.mail.ru *.mradx.net an.yandex.ru blob: data: https: yastat.net yastatic.net 'self'; frame-src *.criteo.com *.doubleclick.net *.doubleverify.com *.mail.ru *.mradx.net *.ok.ru *.vk.com *.yandex.ru *.yandexadexchange.net awaps.yandex.net mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru vk.com yandexadexchange.net yastat.net yastatic.net; report-uri cspreport.mail.ru/splash?v=10.08.20;
Strict-Transport-Security: max-age=16070400
Время ответа сервера 11 мс
IP сайта 94.100.180.200
Кодировка UTF-8(unicode-1-1-utf-8, UTF8)
Размер страницы 37 Б
Статус SSL-сертификата
Сертификат уже выдан другому сайту.
Server: nginx/1.14.1
Date: Tue, 15 Sep 2020 12:23:58 GMT
Content-Type: text/html
Content-Length: 37
Connection: keep-alive
Location: mail.ru
Set-Cookie: mrcu=0ACE5F60B25E1BFEA4BC078E088D; expires=Fri, 13 Sep 2030 12:23:58 GMT; path=/; domain=.mail.ru; Secure; HttpOnly; SameSite=None
Cache-Control: no-cache,no-store,must-revalidate
Pragma: no-cache
Expires: Mon, 16 Sep 2019 12:23:58 GMT
Last-Modified: Tue, 15 Sep 2020 15:23:58 GMT
X-XSS-Protection: 1; mode=block; report=https://cspreport.mail.ru/xxssprotection
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-Host: lf14.m.smailru.net
X-ETime: 0.001
Content-Security-Policy-Report-Only: default-src *.adlooxtracking.com *.adsafeprotected.com *.doubleverify.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.serving-sys.com an.yandex.ru cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org jstracer.yandex.ru mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz strm.yandex.ru yandex.ru yandex.st yastat.net yastatic.net; script-src *.adlooxtracking.com *.adsafeprotected.com *.criteo.com *.doubleclick.net *.doubleverify.com *.dvtps.com *.googleadservices.com *.googlesyndication.com *.googletagservices.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.odnoklassniki.ru *.serving-sys.com *.vk.com an.yandex.ru cdn.ampproject.org cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru vk.com yandex.ru yandex.st yastat.net yastatic.net 'unsafe-eval' 'unsafe-inline'; connect-src *.adlooxtracking.com *.adsafeprotected.com *.criteo.com *.doubleverify.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.serving-sys.com an.yandex.ru cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org jstracer.yandex.ru mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru strm.yandex.ru yandex.ru yandex.st yastat.net yastatic.net; img-src data: blob: *; media-src *.imgsmail.ru *.mail.ru *.mradx.net *.ok.ru *.strm.yandex.ru *.vk.com *.yandex.net coubsecure-s.akamaihd.net data: mail.ru ok.ru strm.yandex.ru vk.com yandex.ru yandex.st yastat.net yastatic.net; style-src *.imgsmail.ru *.mail.ru *.mradx.net blob: cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org yandex.st yastat.net yastatic.net 'unsafe-eval' 'unsafe-inline'; font-src *.imgsmail.ru *.mail.ru *.mradx.net an.yandex.ru blob: data: https: yastat.net yastatic.net 'self'; frame-src *.criteo.com *.doubleclick.net *.doubleverify.com *.mail.ru *.mradx.net *.ok.ru *.vk.com *.yandex.ru *.yandexadexchange.net awaps.yandex.net mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru vk.com yandexadexchange.net yastat.net yastatic.net; report-uri cspreport.mail.ru/splash?v=10.08.20;
Content-Security-Policy: default-src *.adlooxtracking.com *.adsafeprotected.com *.doubleverify.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.serving-sys.com an.yandex.ru cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org jstracer.yandex.ru mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz strm.yandex.ru yandex.ru yandex.st yastat.net yastatic.net; script-src *.adlooxtracking.com *.adsafeprotected.com *.criteo.com *.doubleclick.net *.doubleverify.com *.dvtps.com *.googleadservices.com *.googlesyndication.com *.googletagservices.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.odnoklassniki.ru *.serving-sys.com *.vk.com an.yandex.ru cdn.ampproject.org cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru vk.com yandex.ru yandex.st yastat.net yastatic.net 'unsafe-eval' 'unsafe-inline'; connect-src *.adlooxtracking.com *.adsafeprotected.com *.criteo.com *.doubleverify.com *.imgsmail.ru *.mail.ru *.moatads.com *.mradx.net *.serving-sys.com an.yandex.ru cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org jstracer.yandex.ru mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru strm.yandex.ru yandex.ru yandex.st yastat.net yastatic.net; img-src data: blob: *; media-src *.imgsmail.ru *.mail.ru *.mradx.net *.ok.ru *.strm.yandex.ru *.vk.com *.yandex.net coubsecure-s.akamaihd.net data: mail.ru ok.ru strm.yandex.ru vk.com yandex.ru yandex.st yastat.net yastatic.net; style-src *.imgsmail.ru *.mail.ru *.mradx.net blob: cdn.consentmanager.mgr.consensu.org consentmanager.mgr.consensu.org yandex.st yastat.net yastatic.net 'unsafe-eval' 'unsafe-inline'; font-src *.imgsmail.ru *.mail.ru *.mradx.net an.yandex.ru blob: data: https: yastat.net yastatic.net 'self'; frame-src *.criteo.com *.doubleclick.net *.doubleverify.com *.mail.ru *.mradx.net *.ok.ru *.vk.com *.yandex.ru *.yandexadexchange.net awaps.yandex.net mail.ru mc.yandex.by mc.yandex.fr mc.yandex.kz mc.yandex.md mc.yandex.ru mc.yandex.ua mc.yandex.uz ok.ru vk.com yandexadexchange.net yastat.net yastatic.net; report-uri cspreport.mail.ru/splash?v=10.08.20;
Strict-Transport-Security: max-age=16070400
Зарегистрируйтесь на Хабре , чтобы оставить комментарий
Руководство по безопасности DNS