著者:ym
certbot と nsupdate
常に SSL/TLS の Web ページとして表示するいわゆる常時SSL化、いよいよ始まりました。
無償で利用できるLet’s Encryptの人気が高まっていますね。関連するので nsupdate と certbot 関連を調べてみました。
- SSL証明書-Let’s EncryptでSSL証明書の新規取得と自動更新(dns-01編) – NORK’s -HOW TO…- Wiki 略して「のうはうWiki」
- DNSSECとDNS update(RFC2136,nsupdate)とdelegation – Abacus Technologies Blog – kana.me 要
nsupdate 関連については、簡単なので置いておくとして。問題は、certbot と nsupdate さらには apache の連携です。すべてバラバラのサーバで運用している上に FreeBSD なサーバです。まだ古いFreeBSD上で動かす方法を考えていますが、やはりCentOSかな。
著者:ym
DNSアップデート
前の家から一緒に引っ越してきた13年もののエアコンがとうとう壊れ、温風しか出さなくなってしまったので新しいエアコンを購入することになりました。しかも子供部屋にも必要ということで2台。一つ5万円くらいかとおもったら、なんやかんやで倍位以上。やむを得ず5年ローンを組みました。
私はエアコン無しでも生活できるのですけどね。とんだ週末、まいりました。
今日はBINDのバージョンアップです。
しばらく、脆弱性への影響が無いものばかりだったのでほったらかしていましたが、あまりにも空きすぎたのでアップグレードを行ってみました。
そろそろ、新しいメジャーバージョンへ追いつきたいところですが。
DNS サーバとしては 4 台可動していて、権威サーバが2台、キャッシュが2台というシンプルな構成で可動しているので、まずは片側をアップグレードして様子をみます。約 1 週間間を置いて、冗長相手側をアップグレードする予定です。
DNS サーバを運用している方は、こちらの日本のJPドメイン名を管理する JPRS のページに情報が掲載されるのでチェックしておくと良いです。
著者:ym
EDNS
JPNIC Blog — 注意! 2019年2月から主要DNSサーバソフトウェアの挙動が変わります
以前延期になった EDNS 機能。通信に UDP ではなく TCP を使う機能です。
世界的な実施予定日は 2019年2月1日ですが、厄介なことに徐々に症状がひどくなっていく形の様です。
JPNIC の記事にかかれているこのサーバ dnsflagday でドメイン名を入力することで DNS サーバが対応済みか結果がわかります。
DNSサーバを構築運用している皆さんも、ご注意ください。
それと以下アップデート。
Windows Update
Microsoft、2018年7月のセキュリティ更新プログラムを公開 ~OSの最大深刻度は“重要” – 窓の杜
私の HDD な PC ではアップデートに45分くらいかかりました。
ClamAV Update 0.100.1
ClamAV® blog- ClamAV 0.100.1 has been released!
レンタルサーバの仕組みとして ClamAV を使用している為、これもアップデートに入ります。
著者:ym
RIPE Atlas probe
RIPE Atlas probeが到着してから2ヶ月程、動かし続けています。
RIPE Atlas – RIPE NCC
RIPE はヨーロッパの IP アドレスを管理する団体なのですが、その団体がこの装置プローブ (probe) を世界中に無償配布して世界中のインターネットの状況をリアルタイム観測しようとするプロジェクトになります。GoogleMapの様な地図があってグリグリ動かして見る事ができます。
このサイトをGoogle翻訳すると、ビジョンや利点等、詳しく書かれています。
いま時点では、静岡県内に 4 個ありますね。で何?といった装置ですが一応ネットワーク携わっているのでね。今更設置してみました。先日メールが送られて来ましたが、なにか動きもありそうです。
著者:ym
DoT してみる
先日の DoH は、DNS over HTTP でしたが、DoT は over Twitter 。
DNS over Twitter も始めてます。
@1111Resolver に対して、メンション付きでコマンドツイートすると IP アドレス返してくれる様です。
で、? なサービスですが、簡単で広告で良い。
DNS over Twitter
ドメイン名をメンションするとIPアドレスを返すTwitterアカウント「@1111Resolver」、Cloudflareが開始 – INTERNET Watch
著者:ym
異なるメーカー&複数ルータ機種でDNS不正書き換え被害
ルータの DNS 設定が書き換えられる件、結構な被害へ広がっている様ですね。
異なるメーカー Logitec、Buffalo、NTT東西、異なる複数の機種でも症状が有るらしい。
しかもゼロデイ状態。まだ原因が突き止められていない様子。
DNS 設定が書き換えられ、偽装された Facebook サーバや、Google サーバへ接続してしまう症状。
ISP側で今回の不正サイトへのトラヒックを制御して防ぐとかしないとやばいような気もする。
結構怖い。