Комментарии 75
У pdd.yandex.ru было ограничение на 50 доменов
0
Ок, исправил. Однако, нигде этого не нашел.
0
Вот здесь например habrahabr.ru/company/yandex/blog/181928/#comment_6321414
0
pdd.yandex.ru поддерживает A, CNAME, AAAA, TXT, MX, NS, SRV (по крайней мере в селекте в админке они все есть).
+1
Ну я так и написал. A, CNAME, MX, NS и TXT все поддерживают.
0
В таблице вижу только AAAA и SRV
0
И правильно. В таблице нигде нет A, CNAME и остальных. Зачем их указывать, если они есть везде?
+4
Ещё нигде не указаны PTR, они тоже иногда нужны.
+1
за такой услугой нужно обращаться к своему провайдеру.
-1
dotster.com позволяет бесплатно управлять DNS включая организацию различных редиректов, однако требуется зарегистрировать хотябы один домен у них
было бы очень интересно найти бесплатный/условно бесплатный сервис DNS с возможностью делать VANITY DNS в пару кликок
было бы очень интересно найти бесплатный/условно бесплатный сервис DNS с возможностью делать VANITY DNS в пару кликок
0
freedns.ws добавьте
0
Если домен висит у них, они добавляют к нему поддомены (типа, kievbank.domain.ru), на которые вешают всякий мусор. Поисковикам это не очень нравится.
+2
Это настраивается. Не вводите людей в заблуждение.
0
А есть еще biz.mail.ru — там еще раньше домен второго уровня бесплатно регистрировался, не знаю как сейчас.
P.S Это не реклама.
P.S Это не реклама.
+2
Посоветуйте, пожалуйста, что лучше использовать для домашних целей — доступ к owncloud и прочим сервисам. Сейчас использую ***.dlinkddns.com. IP белый, формально динамический, по факту не меняется. Или подскажите, что почитать, был бы благодарен))
0
Если «по факту не меняется», то зачем вам DDNS? Я использую DNS от Яндекс. Всё работает хорошо.
P.S. Простите за некропостинг.
P.S. Простите за некропостинг.
0
Уже неактуально) Купил свой домен и радуюсь. Да, если интересно, позавчера как раз публиковал пост о https от Let's Encrypt для доменов даже четвертого уровня. Поднимаем Owncloud с нуля с динамическим IP и Let's Encrypt. Тысяча слонов!*
0
Ого, пост отличный, у самого в черновиках висит начало, но как-то всё времени не хватало. В общем у меня всё аналогично, только использую Nextcloud. Основное ядро разработчиков ушло туда, фичи там сейчас пилятся быстрее. Хотя на вкус и цвет, конечно.
С SSL вообще отдельная тема. Думаю не написать ли пост на хабре… Хотя уже тут много такого было.
В общем посмотрите сами:
https://www.ssllabs.com/ssltest/analyze.html?d=krasovsky.me
Я сделал автоматический выбор шифров AES256 или ChaCha20. Помимо этого перевел все на ECDSA (Eliptic Curves) и прикрепил два сертификата (на случай, если один отзовут, к примеру), настроил Key Pinning (HPKP). Впрочем всё это видно по ссылке выше.
Шифры у вас довольно топорно указаны, то есть просто перечисление (и в этом нет ничего ошибочного, всё правильно :) ), но можно записать более короткую форму, всего в одну строчку:
EECDH+AESGCM:EECDH+CHACHA20:EECDH+AES256:!AES128
(Нужна поддержка ChaCha20).
С SSL вообще отдельная тема. Думаю не написать ли пост на хабре… Хотя уже тут много такого было.
В общем посмотрите сами:
https://www.ssllabs.com/ssltest/analyze.html?d=krasovsky.me
Я сделал автоматический выбор шифров AES256 или ChaCha20. Помимо этого перевел все на ECDSA (Eliptic Curves) и прикрепил два сертификата (на случай, если один отзовут, к примеру), настроил Key Pinning (HPKP). Впрочем всё это видно по ссылке выше.
Шифры у вас довольно топорно указаны, то есть просто перечисление (и в этом нет ничего ошибочного, всё правильно :) ), но можно записать более короткую форму, всего в одну строчку:
EECDH+AESGCM:EECDH+CHACHA20:EECDH+AES256:!AES128
(Нужна поддержка ChaCha20).
0
Кстати ещё рекомендую проверить ваш сайт тут:
https://securityheaders.io/
Этот сайт является частью report-uri.io, который, в свою очередь позволяет просто собирать репорты от Content Security Policy и Key Pinning. В общем буквально за час-два можно настроить грамотные политики, при которых кросс-сайтовый скриптинг будет невозможен.
https://securityheaders.io/
Этот сайт является частью report-uri.io, который, в свою очередь позволяет просто собирать репорты от Content Security Policy и Key Pinning. В общем буквально за час-два можно настроить грамотные политики, при которых кросс-сайтовый скриптинг будет невозможен.
0
Для Primary + Secondary есть еще primaryns.kiev.ua
+1
У cloudflare тоже есть api и куча доп. фич типа кэша, защита от ддос, статистика и т.д.
Было бы не плохо добавить голосование из этих сервисов, интересна их популярность.
Было бы не плохо добавить голосование из этих сервисов, интересна их популярность.
+4
У namecheap.com 3 ns поддерживает A/AAAA/CNAME/MX/TXT/SRV записи, установка TLL.
-1
habrahabr.ru/post/200986/#comment_6945108
И это отключается.
И это отключается.
0
Для secondary-only почти всегда AXFR импортирует всё, что видит, т. е. можно не перечислять поддерживаемые типы записей. Хотя могут и резать.
В частности, для rollernet.us и puck.nether.net могу добавить, что они поддерживают импорт
DNSSEC (записи RRSIG и NSEC) и DANE (записи TLSA или TYPE65468).
Ну а лучший primary для работы с DNSSEC — свой primary, т. к. переподписывать записи придётся часто (пусть даже медленный; а на что ещё кэши dns-resolver-ов?).
В частности, для rollernet.us и puck.nether.net могу добавить, что они поддерживают импорт
DNSSEC (записи RRSIG и NSEC) и DANE (записи TLSA или TYPE65468).
Ну а лучший primary для работы с DNSSEC — свой primary, т. к. переподписывать записи придётся часто (пусть даже медленный; а на что ещё кэши dns-resolver-ов?).
0
А как на практите сегодня использовать TLSA запись?
0
Так у TLSA только один сценарий использования: чтобы проверить соответствие сертификата на сервере по DNS-записи. Сделать это можно, например, так:
В идеале должен быть не 8.8.8.8, а более надёжный канал, например, DNSCrypt.
Для Firefox есть расширение для проверки DANE, но сайтов c DANE очень мало. Зато DANE стандартизирован и его можно использовать в любых протоколах с TLS, что делают IRC-клиент Irssi и почтовый агент Postfix.
openssl s_client -connect good.dane.verisignlabs.com:443 </dev/null 2>/dev/null | openssl x509 > cert.pem
TLSSIGN=`openssl x509 -noout -in cert.pem -fingerprint -sha256 | cut -d= -f2 | tr -d :`
# 8.8.8.8 срежет ответ при расхождении подписей DNSSEC
DNSSIGN=`dig +short tlsa _443._tcp.good.dane.verisignlabs.com @8.8.8.8 | awk '{print $4 $5}'`
if [ $TLSSIGN == $DNSSIGN ]; then
echo "Invalid certificate"
# далее используем альтернативный канал
fi
В идеале должен быть не 8.8.8.8, а более надёжный канал, например, DNSCrypt.
Для Firefox есть расширение для проверки DANE, но сайтов c DANE очень мало. Зато DANE стандартизирован и его можно использовать в любых протоколах с TLS, что делают IRC-клиент Irssi и почтовый агент Postfix.
0
Когда-то черновой вариант DANE работал в хроме, я писал об этом habrahabr.ru/post/138490/
Можно было иметь валидный самоподписанный сертификат. Но когда приняли стандарт, гугл почему-то выбросили эту поддержку из хрома.
И вроде бы всем очевидна полезность DANE, и вот мозилла обсуждает ее внедрение wiki.mozilla.org/Security/DNSSEC-TLS-details Но почему-то никто не спешит внедрять.
Очевидно, что эта технология убивает огромный бизнес SSL-сертификатов. И есть вероятность, что пока живы всякие CA вроде Verisign и Comodo, никакой поддержки DANE не будет.
Можно было иметь валидный самоподписанный сертификат. Но когда приняли стандарт, гугл почему-то выбросили эту поддержку из хрома.
И вроде бы всем очевидна полезность DANE, и вот мозилла обсуждает ее внедрение wiki.mozilla.org/Security/DNSSEC-TLS-details Но почему-то никто не спешит внедрять.
Очевидно, что эта технология убивает огромный бизнес SSL-сертификатов. И есть вероятность, что пока живы всякие CA вроде Verisign и Comodo, никакой поддержки DANE не будет.
0
Лол, только сейчас заметил ваш ник, а до этого так хотелось дать ссылку на вашу же статью.
Кстати, возможно вы поясните одну вещь, которая до меня не доходит. Предположим, я делегирую у реселлера R01 или RuCenter домен в зоне Ru. В момент подписи генерируется строка DS (dsset), которую мне нужно перенести в специальную графу формы в личном кабинете ресселлера. И тут появляется злоумышленник, генерирует свои ZSK и KSK, по открытому ключу RU и KSK создаёт DS. При этом реселлер может в любой момент по запросу злоумышленника подменить NXDOMAIN и DS-запись. После этого по изменённому адресу NXDOMAIN поднимается сервер, который подменяет A/AAAA-записи на IP злоумышленника. Злоумышленник поднимает на этом IP https-сервер, удостоверяет его самоподписанным сертификатом, а потом ещё и удостоверяет сертификат DANE-записью и подписывает зону по своему ZSK-ключу. В итоге пользователь, чей браузер поддерживает DANE (представим, что такие существуют), даже не получит предупреждения!
Как можно перекладывать доверие на регистраторов? Перед кем они отчитываются, кто проводит аудит? В случае чего регистратор просто скажет, что юзер сам вошёл в панель управления и заменил DS.
Кстати, возможно вы поясните одну вещь, которая до меня не доходит. Предположим, я делегирую у реселлера R01 или RuCenter домен в зоне Ru. В момент подписи генерируется строка DS (dsset), которую мне нужно перенести в специальную графу формы в личном кабинете ресселлера. И тут появляется злоумышленник, генерирует свои ZSK и KSK, по открытому ключу RU и KSK создаёт DS. При этом реселлер может в любой момент по запросу злоумышленника подменить NXDOMAIN и DS-запись. После этого по изменённому адресу NXDOMAIN поднимается сервер, который подменяет A/AAAA-записи на IP злоумышленника. Злоумышленник поднимает на этом IP https-сервер, удостоверяет его самоподписанным сертификатом, а потом ещё и удостоверяет сертификат DANE-записью и подписывает зону по своему ZSK-ключу. В итоге пользователь, чей браузер поддерживает DANE (представим, что такие существуют), даже не получит предупреждения!
Как можно перекладывать доверие на регистраторов? Перед кем они отчитываются, кто проводит аудит? В случае чего регистратор просто скажет, что юзер сам вошёл в панель управления и заменил DS.
0
Да, в этой схеме предполагается доверять регистратору DS-записи которые он помещает в корневые NS-ы зоны. Но в случае подмены DS невозможно произвести атаку без смены NS-записей. В любом случае незаметно это сделать нельзя.
В текущей схеме ведь так же приходится доверять регистратору NS-записи.
Я держу скрипт который несколько раз в сутки опрашивает корневые сервера зоны на предмет изменения NS-записей для домена и так же изменения whois, и в случае изменений отправляет мне SMS.
Не совсем понял про NXDOMAIN, это ведь ответ что домен не существует.
В текущей схеме ведь так же приходится доверять регистратору NS-записи.
Я держу скрипт который несколько раз в сутки опрашивает корневые сервера зоны на предмет изменения NS-записей для домена и так же изменения whois, и в случае изменений отправляет мне SMS.
Не совсем понял про NXDOMAIN, это ведь ответ что домен не существует.
0
Оговорился, имел в виду NS, а не NXDOMAIN.
Связка DNSSEC+DANE+самоподписанный сертификат не работает. Это вы из своей сети видите, что NS-записи целы. А для многих администраторов сетей подмена DANE и IP это прекрасный способ внедрить свой самоподписанный сертификат даже без предупреждения браузера. DNSCrypt является медленным и дорогим средством (что на примере OpenDNS отбивается абсолютно неприемлемым способом с точки зрения privacy). Так что не смог бы DANE убить бизнес CA.
Связка DNSSEC+DANE+самоподписанный сертификат не работает. Это вы из своей сети видите, что NS-записи целы. А для многих администраторов сетей подмена DANE и IP это прекрасный способ внедрить свой самоподписанный сертификат даже без предупреждения браузера. DNSCrypt является медленным и дорогим средством (что на примере OpenDNS отбивается абсолютно неприемлемым способом с точки зрения privacy). Так что не смог бы DANE убить бизнес CA.
0
Это вы из своей сети видите, что NS-записи целы.
Вы имеете в виду, что если атакующий контролирует рекурсивный резолвер который использует юзер, он может выстроить альтернативную цепочку проверки сертификата?
Но это невозможно, так как DS-записи вашего домена на корневых серверах зоны подписаны ключом этой зоны:
dig +trace +dnssec DS zhovner.com
Видно, что DS записи для домена zhovner.com хранящиеся на gtld-servers.net имеют RSSIG.
Поэтому чтобы провести атаку, которую вы описываете, нужно еще завладеть ключом от корневой зоны .ru. Иначе цепочка будет нарушена.
0
he.net пишет что DNSSEC вероятно будет работаеть при использовании их как secondary, но они не обещают.
0
Очень не хватает указания минимального TTL. Очень многие регистраторские NS-ы грешат тем, что «изменения будут активированы в течении суток», при этом они реально попадут (по cron-у) в зону через час-другой, а потом (спасибо TTL) будут еще сутки-другие разноситься по просторам Интернета.
Понятно, что возможное значение TTL в единицы или десятки секунд не особо нужно, но 5-10 минут — очень порой выручает. И, да, нужно, чтобы его можно было указывать для каждой записи. Простой пример: для ddns-записи его величина в 5 минут будет в тему, для записи www можно и несколько часов, а то и сутки поставить — скорее всего это не окажется смертельным.
Rackspace, кстати, заявляют не просто о нескольких NS-серверах, но о полноценной поддержки anycast, т.е. информация будет отдана с ближайшего к клиенту их сервера. По сути, у них есть площадки в США, в UK, в Австралии, и в Азии (не уверен) так что почти весь мир их anycast обслуживает вполне быстро ( www.rackspace.com/about/datacenters/ )
Понятно, что возможное значение TTL в единицы или десятки секунд не особо нужно, но 5-10 минут — очень порой выручает. И, да, нужно, чтобы его можно было указывать для каждой записи. Простой пример: для ddns-записи его величина в 5 минут будет в тему, для записи www можно и несколько часов, а то и сутки поставить — скорее всего это не окажется смертельным.
Rackspace, кстати, заявляют не просто о нескольких NS-серверах, но о полноценной поддержки anycast, т.е. информация будет отдана с ближайшего к клиенту их сервера. По сути, у них есть площадки в США, в UK, в Австралии, и в Азии (не уверен) так что почти весь мир их anycast обслуживает вполне быстро ( www.rackspace.com/about/datacenters/ )
+1
К сожалению rackspace dns, нельзя взять и использовать с какими хочешь серваками.
Только для их сереверных ресурсов можно использовать их dns.
Из часто задаваемых вопросов по rackspace dns:
Только для их сереверных ресурсов можно использовать их dns.
Из часто задаваемых вопросов по rackspace dns:
Can this service be used for Dedicated Servers?
No. The Cloud DNS service is only available for Cloud account resources. Managed / Dedicated customers with Rack Connect (i.e. those customers who also have a Cloud account) have access, but can only use the service to manage DNS for their Rackspace Cloud resources.
0
Опрос бы добавили интересно знать кто чем пользуется. Я пробовал только yandex.ru
0
Возможно ещё пометить сервисы, позволяющие создать wildcard запись (которая *.example.org)?
У freedns.afraid.org это премиум-фича.
У freedns.afraid.org это премиум-фича.
0
Большинство предоставляют.
Я обновил таблицу потому, что pointhq стал платным, и мне нужно было куда-то переносить свои домены. Остановился на he.net, т.к. 50 доменов довольно-таки много, много фич, IPv6 и 5 NS. Понравились еще 2ns.info и geoscaling.com. Это «полноценные» NS-сервисы, функциональность полная.
Я обновил таблицу потому, что pointhq стал платным, и мне нужно было куда-то переносить свои домены. Остановился на he.net, т.к. 50 доменов довольно-таки много, много фич, IPv6 и 5 NS. Понравились еще 2ns.info и geoscaling.com. Это «полноценные» NS-сервисы, функциональность полная.
0
У geoscaling действительно полная функциональность.
Полный доступ к mysql получил минут за 10, слил список юзеров и доменов исключительно ради спортивного интереса. Их там немного, да и подавляющие большинство доменов давно на других днсах.
Ни капельки не удивлюсь, если я не первый, и IP-адреса в ваших A-записях будут меняться произвольным образом. Не советую пользоваться, в общем.
Полный доступ к mysql получил минут за 10, слил список юзеров и доменов исключительно ради спортивного интереса. Их там немного, да и подавляющие большинство доменов давно на других днсах.
Ни капельки не удивлюсь, если я не первый, и IP-адреса в ваших A-записях будут меняться произвольным образом. Не советую пользоваться, в общем.
0
Расскажите, как вы переезжали с PointHQ?
Меня не пускают никуда кроме выбора оплаты тарифного плана. Экспортировать зону не дают.
Меня не пускают никуда кроме выбора оплаты тарифного плана. Экспортировать зону не дают.
0
Получил ответ от их техподдержки:
Интересный подход. Когда все сервисы предлагают trial-режимы — эти ребята сразу отключили доступ.
Hi there,
Your account is block now, please let me know which domain you want to export and I will send you appropriate files.
Regards,
Michał
Интересный подход. Когда все сервисы предлагают trial-режимы — эти ребята сразу отключили доступ.
0
secondary.net.ua — никто не занимается, бывали случаи когда он несколько дней лежал, а единственный человек который из занимается был на рыбалке.
Есть еще gratisdns.dk/ там бесплатен только secondary и панель только на датском языке. Но зато 5 серверов и поддерживает DNSSEC.
Есть еще gratisdns.dk/ там бесплатен только secondary и панель только на датском языке. Но зато 5 серверов и поддерживает DNSSEC.
0
Я когда регистрировал домен в зоне .IS, то долго не мог подобрать NS-сервера с нужными требованиями. Выручил меня данный сервис: x.is (АААА, LOC, SRV), правда при переносе на него более нагруженного домена, начал ругаться Google на перегруженность DNS-сервера сайта.
0
Рассмотрите вариант переноса списка из хабратопиков в репозиторий на гитхабе. Их часто стали использовать ведения списков-закладок — удобно принимать пул-реквесты.
+3
selectel.ru — в услугах не значится, но в панели управления пункт меню «домены» присутствует. 4 anycast'овых NS'a (10 географических точек, 5 из них — Киев, Санкт-Петербург, Москва, Екатеринбург, Новосибирск), доступны по IPv6. Для использования NS-ов заказывать какие-либо услуги необязательно.
+3
А у Яндекса честный-честный DNS-сервис? Любые MX-записи дадут сделать? Google Apps подключить? Свою почту навязывать не станут?
+1
У cloudflare есть замечательное API. Использую его именно из-за этого. :)
0
Эмм, а почему cloudflare записан просто как DNS, это у них вообще боковой функционал, существующий исключительно для реализации основной задачи — CDN+защита WEB-сайтов (DDoS, WAF, etc).
0
Потому, что это список DNS-сервисов?
0
А для чего столбец «Доп. фичи», м? Ну и повторю — cloudflare — это не DNS-сервис. Да, там есть такая функция, но использовать cloudflare просто как DNS-сервис было бы довольно глупо. Это примерно как использовать автомобиль как зарядное устройство для телефона.
0
Но как CDN CF имеет свои моменты, а вот DNS с API, да еще и без денег (т.е. даром) — очень полезная штука.
«Моменты» — это, я, во-первых, про то, что они, в среднем, далековато от России, т.е. от такой CDN-ности не всегда много пользы. Ну и бывает, что они, как всякий кеш, не успевают контент у себя обновить, и отдают старое.
DNS с API вообще не так чтобы часто встречается, вот проблема. И даже не в деньгах дело, просто пока из потребностей человек нужно только поддожиывать DDNS для одной-двух записей, то выбор существенно шире, а вот если хочется скриптами свою зону обновлять, тут призадумываешься…
«Моменты» — это, я, во-первых, про то, что они, в среднем, далековато от России, т.е. от такой CDN-ности не всегда много пользы. Ну и бывает, что они, как всякий кеш, не успевают контент у себя обновить, и отдают старое.
DNS с API вообще не так чтобы часто встречается, вот проблема. И даже не в деньгах дело, просто пока из потребностей человек нужно только поддожиывать DDNS для одной-двух записей, то выбор существенно шире, а вот если хочется скриптами свою зону обновлять, тут призадумываешься…
+1
deleted
-1
Может этот список да на github, чтоб каждый мог дополнить?
0
Сделал список на github github.com/wavedocs/freedns/
+1
2ns.info уже закрыт, с их сайта
Пожалуйста, обратите внимание, что полное отключение всех функций сервиса и полное закрытие проекта произойдет 31 октября 2014 года.
+4
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Список бесплатных DNS-сервисов