DoH na ODVR ostře a v Chrome

Od loňského května, kdy jsme oznámili spuštění experimentálního provozu DNS over HTTPS (zkráceně DoH) na našich Otevřených DNSSEC Validujících Resolverech (ODVR) byly na těchto našich resolverech odbaveny miliardy DNS dotazů. Za tu dobu ale jen neplynul čas a DNS, ale ODVR jsme kompletně přesunuli na novou anycast infrastrukturu, oddělenou od infrastruktury pro .CZ doménu. Navíc jsme průběžně optimalizovali provoz jak celého ODVR, tak již zmíněného DoH. Jeho implementace v Knot Resolveru, který naše ODVR pohání, nebyla, hlavně z počátku, úplně stabilní a jsme moc rádi, že nám naši uživatelé pomáhali s jejím laděním. Podíl DoH na celkovém provozu ODVR jen výjimečně přesahuje dvě procenta.

Follow the DNS

V dnešní době již to tak „nefrčí“, ale na začátku tohoto tisíciletí přinesla sílící globalizace společně s rozmachem moderních technologií a hlavně Internetu pojem „Follow the Sun“. Pro mladší nebo starší, co to již zapomněli, ve stručnosti o co šlo. Například při provozu online služeb, které musí typicky fungovat nepřetržitě a uživatelé k nim mohou přistupovat odkudkoliv a kdykoliv, se může stát, že služba přestane fungovat nebo ji uživatel neumí použít. Kdykoliv. Jak zajistit technickou podporu takové službě, aniž byste v jednom časovém pásmu nutili pracovníky bdít, když je noc? Rozprostřete takové pracovníky po světě tak, že máte kdykoliv někoho, kdo má den (the Sun nad hlavou) a může tedy podporu online služby zajistit. A když to ten pracovník nezvládne dořešit, předá to dalšímu, který je směrem po sluníčku, aby práci dokončil. To, že se pak neměřil čas vyřešení požadavku v hodinách, ale v počtu oběhnutí požadavku kolem Země, je věc podružná.

DNS stack už také v CESNETu

Jak jsme již několikrát avizovali, po masivních upgradech DNS anycastu pro .CZ doménu v posledních letech a vybudování 100GE DNS infrastruktury se nyní zaměřujeme spíše na cílené ladění provozu anycastu. Snažíme se tak například spouštět nové DNS stacky v místech zdrojů významného DNS provozu, a to jak v zahraničí, tak v České republice. Spuštění DNS stacku v síti CESNETu na začátku dubna budiž této naší činnosti důkazem.

Vývojáři ACTIVE 24 představili nového EPP klienta pro komunikaci s registrem domén .CZ

Jeden z doménových registrátorů, společnost ACTIVE 24, nedávno z vlastní iniciativy vytvořil nového open-source klienta v jazyce Java pro komunikaci s doménovým registračním systémem FRED. Tento klient umožňuje komunikaci se systémem FRED pomocí protokolu EPP a je alternativou ke klientu napsaném ve sdružení CZ.NIC v jazyce Python. Oba slouží k provádění běžných operací registrátorů ve vztahu k registru: vytváření, aktualizace, převod, obnova či mazání domén, kontaktů a dalších objektů v registru. Nový Java klient nabízí vylepšené příkazy přípravy dat, oproti Python klientovi již není nutné po zavolaní příkazu „prep_domain_by_nsset“ a dalších volat příkazy „get_results“ pro získání výsledků. Java klient toto volaní udělá automaticky a vrátí kompletní ucelené výsledky.

Staré ODVR definitivně vypínáme 23. března 2020

Aktualizace 19. 6. 2020: z důvodu zavedení nouzového stavu odloženo na 25. června 2020 9:00.

Na konci ledna jsme ukončili provoz anycast části starých Otevřených DNSSEC Validujících Resolverů, tzv. ODVR, a zvýšili tak bezpečnost provozu DNS anycastu pro českou národní doménu .CZ, se kterým byla tato část technologicky svázána. O plánovaném vypnutí jsme mnohokrát psali a dále komunikovali, ale nakonec jsme se rozhodli ukončit provoz pouze té části, která měla méně uživatelů, tedy anycast části. Zbývá vypnout unicast část a tento krok provedeme 23. března 2020 v 9:00.

20. ledna vypínáme staré ODVR. Nebo ne?

Přicházím s posledním připomenutím nutnosti změny nastavení svých počítačů či síťových zařízení. V pondělí 20. ledna v 9:00 by Vám mohl přestat fungovat Internet, protože vypneme první část platformy starých Otevřených DNSSEC Validujících Resolverů, tzv. ODVR. Samozřejmě jen v případě, pokud tuto odstavovanou službu ještě využíváte.

Termín vypnutí starého ODVR

Jak jsme již informovali v dřívějších blogpostech, zprovoznili jsme novou instanci našich Otevřených DNSSEC Validujících Resolverů a snažíme se na ni převést provoz. Jen opakuji, že ODVR, jak název této služby zkracujeme, je nejznámější českou alternativou k resolverům, které jsou provozovány například společnostmi Google (tzv. „čtyři osmičky“) nebo Cloudflare (tzv. „čtyři jedničky“).

Další 10GE posílení .CZ anycastu

Dovolte mi další krátký díl našeho „nekonečného“ seriálu o zvyšování bezpečnosti provozu DNS pro .CZ doménu. Zřejmě proto, že jeho poslední zveřejněný díl znamenal upgrade v řádu 100 GE, a také proto, že naši administrátoři mají plné ruce práce se stěhováním do privátního sálu, tento vychází poněkud zpožděný a navíc z mé klávesnice.

Nové ODVR již odbavuje více než 20 procent provozu

Dnešní krátký článek bych rád pojal jako velké poděkování! Komu? Všem těm, kteří nejen že pomohli s otestováním nových Otevřených DNSSEC Validujících Resolverů po jejich spuštění v květnu tohoto roku, ale dále zkouší nově zavedenou podporu DNS-over-TLS a DNS-over-HTTPS a v neposlední řadě systematicky přecházejí na systémech ve své správě právě na nové ODVR.