Názory k článku
CZ.NIC vypne původní otevřené rekurzivní DNS servery už 20. ledna 2020

A pak že nejdou změnit adresy :P
(nebylo by jednodušší těm serverům přiřadit i název skrze v DNS? třeba by se to zresolvovalo jednou při bootu serveru, přes DNS cestu providera, nebo některého cloud dns provozovatele)

Resolver má přidělené doménové jméno odvr.nic.cz.

Není použití ip adresy bezpečnější ? Jak je zaručené že tu adresu nekdo nespoofne ? Ptám se, protože nevím jak toto funguje

Záleží na podmínkách. Váš poskytovatel je schopen odklonit IP, stejně jako odkloní DNS. Pomůže jen elektronický podpis (DNSSEC v DNS) nebo šifrování (TLS na vyšších vrstvách). Nedá se na to odpovědět jednou větou.

Obecná rada zní: pokud chcete mít jistotu, nespoléhejte se na síť, ale ověřujte podpisy a šifrujte.

Spoofing IP v siti providera je mozny skrze NAT. Jako koncovy uzivatel mate malou sanci jen tak rychle zjistit zda komunikujete se spravnou protistranou. Tohle se resi vetsinou skrze TLS a pak hlavne vynucene overeni kompletniho retezce certifikatu.

Používám veřejné DNS resolvery u zařízení, která mají dostat adresu z DHCP a pak se připojit do mé VPN -- nechci tam dávat rovnou IP VPN serveru, protože to běží na VPS za pár korun a kdo ví kdy to bude potřeba migrovat, a trochu se bojím spoléhat na servery přidělené v lokální síti, že nebudou fungovat (uznávám, že tohle se asi dít moc nebude, když to dělá uživatel, kterému „internet funguje“, ale s rozšiřujícím se DoH, fallbackem na 8.8.8.8 na Androidu atd. bych čekal, že resolvery v sítích BFU začnou být rozbité a nikdo si toho nevšimne).

No a tak zůstávám u 8.8.8.8, i když CZ.NIC mám politicky radši než Google, protože některá z těch zařízení se zapínají jen příležitostně, některá jsou kvůli spolehlivosti read-only, a jak to tam jako budu měnit.

Chápu správně váš myšlenkový pochod, že DNS Cz.nic se může podělat, tak jste radši u Googleu??? A slyšel jste někdy, že existují i další veřejné servery DNS?

> Chápu správně váš myšlenkový pochod, že DNS Cz.nic se může podělat

Zprávička je o tom, že DNS CZ.NICu se podělat nikoli může, ale podělá se jistě.

> tak jste radši u Googleu

Ano, přesně tak, myslím, že 8.8.8.8 bude fungovat ze všech veřejných DNS nejdéle a nejspolehlivěji. Pak je otázka co tam dát jako druhý server, a tam bych nejspíš sázel na 208.67.222.222.

Mezi „podělá“ a „vymění“ cítím rozdíl.
Nezaznamenal jsem problémy s DNS Nicu. Ale jestli vám nevadí DNS od oblíbeného šmíráčka, tak je všechno v pořádku.

> Mezi „podělá“ a „vymění“ cítím rozdíl.

Reagoval jste na příspěvek, kde bylo naprosto jasně napsáno, s čím a proč bych mohl mít potenciální problém, a nazval jste to poděláním vy.

> Ale jestli vám nevadí DNS od oblíbeného šmíráčka, tak je všechno v pořádku.

To již také bylo řečeno: „CZ.NIC mám politicky radši než Google“. Ale jinak upřímně v této aplikaci opravdu zas tak ne: ptá se to jenom na vpn.firma.tld, openwrt.pool.ntpda­te.org a výjimečně downloads.open­wrt.org při aktualizaci software. Trackováním vpn.firma.tld může šmírák zjistit, kde jsou zařízení nasazena, ale to stejně plánujeme mít napsáno na webu.

Nezapamatovatelné IP adresy cz.nic serverů se mění na jiné nezapamatovatelné adresy, a co hůř, ty dosavadní přestanou fungovat.
Tak jestli není lepší tam dát rovnou 8.8.8.8 nebo 1.1.1.1, které nemusím nikde dohledávat, když někde narazím na problém.
Důvody chápu, ale to fakt nešlo najít nějaké lepší IP adresy?
Ale jinak dík za upozornění, měl jsem v jedné konfiguraci 8.8.8.8 a jako druhý cz.nic, tak jsem to opravil. Tedy na nový cz.nic server.

Tak si vyberte, tady je přehled adres, které má CZ.NIC k dispozici:

$ whois -h whois.ripe.net -r -i org ORG-Cz1-RIPE -T inetnum |grep inetnum:
inetnum:        185.43.132.0 - 185.43.135.255
inetnum:        193.17.47.0 - 193.17.47.255
inetnum:        193.29.206.0 - 193.29.206.255
inetnum:        194.0.12.0 - 194.0.12.255
inetnum:        194.0.13.0 - 194.0.13.255
inetnum:        194.0.14.0 - 194.0.14.255
inetnum:        217.31.192.0 - 217.31.207.255

V době, kdy jsou všechny IPv4 adresy rozdány, budete těžko shánět nějaké zapamatovatelné adresy.

Tak jestli je hlavním požadavkem na server DNS zapamatovatelnost jeho adresy, tak to pak jo.

Hlavním asi ne, ale důležitým rozhodně ano.
DNS používáme proto, že IP adresy se blbě pamatují. Není od věci mít IP adresy DNS serverů tak, aby se pamatovaly dobře. Google a Cloudfare to respektují věřím, že to přineslo výsledky.
Pro CZ.NIC není prioritou co největší počet uživatelů na DNS, takže je to vlastně vůbec nemusí trápit.

"Přestanou fungovat": když jsme u toho, Cloudflare má 1.1.1.1 zapůjčeno (pouze) do jara 2023, alespoň v tuto chvíli. Těžko odhadnu co pak APNIC udělá, ale předpokládám že by tam nejspíš nějaký resolver zůstal, jen možná od někoho jiného.

Jak bylo vysvětleno, přečíslování nastalo kvůli přechodu na anycast oddělený od autoritativních serverů. To vůbec neznamená, že se bude někdy přečíslovávat znovu. Osobně si neumím představit důvod, proč by to mohlo nastat.

Obecně bych pro maximální spolehlivost použil dvě adresy od různých "poskytovatelů". Co se DNS od ISP týče, zatím se výrazná změna defaultu nerýsuje (kromě Firefoxu v USA), ale je to jakýsi "politický" boj který se může časem vyvinout různě.

29. 11. 2019, 09:16 editováno autorem komentáře