Fórum Root.cz

Hlavní témata => Server => Téma založeno: McFly 09. 12. 2025, 11:41:31

Název: Resolvery CZ.NIC nepřekládají weby Monety?
Přispěvatel: McFly 09. 12. 2025, 11:41:31

Čau, taky vám otevřené validující DNSSEC resolvery CZ.NICu nepřekládají weby Monety?


https://www.novinky.cz/clanek/internet-a-pc-internetove-bankovnictvi-moneta-banky-zkolabovalo-nefunguje-uz-druhy-den-40552484

Kód: [Vybrat]

# nslookup moneta.cz 193.17.47.1
Server:         193.17.47.1
Address:        193.17.47.1#53

Non-authoritative answer:
*** Can't find moneta.cz: No answer

# nslookup moneta.cz 185.43.135.1
Server:         185.43.135.1
Address:        185.43.135.1#53

Non-authoritative answer:
*** Can't find moneta.cz: No answer
DNS ISP OK. Google DNS OK.

Chyba v CZ.NICu?

Název: Re:Resolvery CZ.NIC nepřekládají weby Monety?
Přispěvatel: Petr Krčmář 09. 12. 2025, 12:29:45

Chyba je na straně autoritativních serverů. Zdá se, že vracejí A záznam a rovnou k němu informaci v NSEC3, že takový záznam neexistuje. Tipoval bych na nějakou kreativitu na straně F5, který jim dělá autoritativní servery.

Název: Re:Resolvery CZ.NIC nepřekládají weby Monety?
Přispěvatel: Michal Šmucr 09. 12. 2025, 12:55:26

Citace: Petr Krčmář  09. 12. 2025, 12:29:45

Chyba je na straně autoritativních serverů. Zdá se, že vracejí A záznam a rovnou k němu informaci v NSEC3, že takový záznam neexistuje. Tipoval bych na nějakou kreativitu na straně F5, který jim dělá autoritativní servery.

Teď jsem na to samé koukal na DNSViz

https://dnsviz.net/d/moneta.cz/dnssec/?rr=all&a=all&ds=all&doe=on&ta=.&tk=

Tam to tu chybu popisuje tak, že nesedí RR bitmapa s těmi záznamy.
Jen to vypadá, že DNS od NIC.CZ je na to citlivější, protože třeba Quad9 nebo Cloudflare to v pohodě vrací.. možná tohle ignorují.

U DNS4EU je to trochu zvláštní. U výchozí, protected: 86.54.11.1 se to chová stejně jako u NIC.CZ, ale ta uprotected 86.54.11.100 ten záznam vrací, přičemž by obě varianty měly používat DNSSEC.

Zajímavé, zatím jsem se podobnou věcí nesetkal.

Název: Re:Resolvery CZ.NIC nepřekládají weby Monety?
Přispěvatel: vcunat 09. 12. 2025, 14:46:19

No, dotazy na neexistující typy (třeba AAAA) ty autoritativní servery vrací s DNSSEC důkazy, které tvrdí například že ani A záznam neexistuje.  Takže podle toho, co je zrovna v cachi první, to vyhraje (vizte RFC 8198).  Jak odvr.nic.cz tak DNS4EU se v tomto chovají stejně, protože je to prostě obojí Knot Resolver.

Samozřejmě pozor na "routování", tedy že různé dotazy mohou skončit na různých cachích, atd.  (napovědět může +nsid parametr pro (k)dig)

Název: Re:Resolvery CZ.NIC nepřekládají weby Monety?
Přispěvatel: Aleš Rygl 09. 12. 2025, 17:47:41

Nakonec DNSSEC vypnuli, odstranili DS z .cz zony. Tak to snad brzo daji dohromady.

Název: Re:Resolvery CZ.NIC nepřekládají weby Monety?
Přispěvatel: a12 09. 12. 2025, 18:55:02

tak proto dnes obesilali ISP s zadosti o reset cache dnsresolveru...

Název: Re:Resolvery CZ.NIC nepřekládají weby Monety?
Přispěvatel: vcunat 09. 12. 2025, 20:38:00

Obesílali?  Hmm, na pohled vidím všechny TTL 1 hodinu nebo méně (včetně moneta.cz DS).  Ale možná to nějaký smysl mělo.  Spíš z principu je takové obesílání slabá záplata, pomůže jen části uživatelů.

EDIT: aha, to byla jistě ta "součinnost operátorů" v článku na Novinkách.

Název: Re:Resolvery CZ.NIC nepřekládají weby Monety?
Přispěvatel: Aleš Rygl 09. 12. 2025, 21:00:30

Ano, mel jsem s tim take co docineni. Byla tu snaha zachranit situaci, ale seslo tam vic problemu, jak tu uz nekdo zminil ten NSEC3 a proto to pomohlo jen trochu.

Ale DS jeste zpet neni, jak se divam.

Název: Re:Resolvery CZ.NIC nepřekládají weby Monety?
Přispěvatel: Michal Šmucr 09. 12. 2025, 22:38:39

@vcunat

Díky za odpověd a nasměrování k RFC 8198. Překvapily mě ty rozdíly v odpovědích i mezi validujícími resolvery, tohle to pěkně vysvětluje.

Název: Re:Resolvery CZ.NIC nepřekládají weby Monety?
Přispěvatel: vcunat 10. 12. 2025, 08:00:31

DS zpět dát zatím jistě nechtějí, protože ty rozbité NSEC3 jim to pořád vrací.