1. Fórum Root.cz
  2. Hlavní témata
  3. Server
  4. Resolvery CZ.NIC nepřekládají weby Monety?
« předchozí další »
Stran: [1]

Resolvery CZ.NIC nepřekládají weby Monety?

  • 5 Odpovědí
  • 1011 Zhlédnutí

McFly

  • *****
  • 641
    • Zobrazit profil
    • E-mail
Resolvery CZ.NIC nepřekládají weby Monety?
« kdy: Dnes v 11:41:31 »
Čau, taky vám otevřené validující DNSSEC resolvery CZ.NICu nepřekládají weby Monety?


https://www.novinky.cz/clanek/internet-a-pc-internetove-bankovnictvi-moneta-banky-zkolabovalo-nefunguje-uz-druhy-den-40552484

Kód: [Vybrat]
# nslookup moneta.cz 193.17.47.1
Server:         193.17.47.1
Address:        193.17.47.1#53

Non-authoritative answer:
*** Can't find moneta.cz: No answer

# nslookup moneta.cz 185.43.135.1
Server:         185.43.135.1
Address:        185.43.135.1#53

Non-authoritative answer:
*** Can't find moneta.cz: No answer
DNS ISP OK. Google DNS OK.

Chyba v CZ.NICu?
IP zaznamenána

Reklama

  • * * * * *

Petr Krčmář

  • *****
  • 3 045
    • Zobrazit profil
    • E-mail
Re:Resolvery CZ.NIC nepřekládají weby Monety?
« Odpověď #1 kdy: Dnes v 12:29:45 »
Chyba je na straně autoritativních serverů. Zdá se, že vracejí A záznam a rovnou k němu informaci v NSEC3, že takový záznam neexistuje. Tipoval bych na nějakou kreativitu na straně F5, který jim dělá autoritativní servery.
IP zaznamenána

Michal Šmucr

  • *****
  • 507
    • Zobrazit profil
    • E-mail
Re:Resolvery CZ.NIC nepřekládají weby Monety?
« Odpověď #2 kdy: Dnes v 12:55:26 »
Citace: Petr Krčmář  Dnes v 12:29:45
Chyba je na straně autoritativních serverů. Zdá se, že vracejí A záznam a rovnou k němu informaci v NSEC3, že takový záznam neexistuje. Tipoval bych na nějakou kreativitu na straně F5, který jim dělá autoritativní servery.

Teď jsem na to samé koukal na DNSViz

https://dnsviz.net/d/moneta.cz/dnssec/?rr=all&a=all&ds=all&doe=on&ta=.&tk=

Tam to tu chybu popisuje tak, že nesedí RR bitmapa s těmi záznamy.
Jen to vypadá, že DNS od NIC.CZ je na to citlivější, protože třeba Quad9 nebo Cloudflare to v pohodě vrací.. možná tohle ignorují.

U DNS4EU je to trochu zvláštní. U výchozí, protected: 86.54.11.1 se to chová stejně jako u NIC.CZ, ale ta uprotected 86.54.11.100 ten záznam vrací, přičemž by obě varianty měly používat DNSSEC.

Zajímavé, zatím jsem se podobnou věcí nesetkal.
IP zaznamenána

vcunat

  • ***
  • 169
    • Zobrazit profil
    • E-mail
Re:Resolvery CZ.NIC nepřekládají weby Monety?
« Odpověď #3 kdy: Dnes v 14:46:19 »
No, dotazy na neexistující typy (třeba AAAA) ty autoritativní servery vrací s DNSSEC důkazy, které tvrdí například že ani A záznam neexistuje.  Takže podle toho, co je zrovna v cachi první, to vyhraje (vizte RFC 8198).  Jak odvr.nic.cz tak DNS4EU se v tomto chovají stejně, protože je to prostě obojí Knot Resolver.

Samozřejmě pozor na "routování", tedy že různé dotazy mohou skončit na různých cachích, atd.  (napovědět může +nsid parametr pro (k)dig)
« Poslední změna: Dnes v 14:56:13 od vcunat »
IP zaznamenána

Aleš Rygl

Re:Resolvery CZ.NIC nepřekládají weby Monety?
« Odpověď #4 kdy: Dnes v 17:47:41 »
Nakonec DNSSEC vypnuli, odstranili DS z .cz zony. Tak to snad brzo daji dohromady.
IP zaznamenána

Reklama

  • * * * * *

a12

Re:Resolvery CZ.NIC nepřekládají weby Monety?
« Odpověď #5 kdy: Dnes v 18:55:02 »
tak proto dnes obesilali ISP s zadosti o reset cache dnsresolveru...
IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Server
  4. Resolvery CZ.NIC nepřekládají weby Monety?