Zpětně viděno nebyl tenhle výpadek Zdrojáku žádná velká záhada, ale protože jsem se s tímhle typem problému setkal poprvé (a řada z vás nejspíš ještě nikdy), může být jeho popis někomu užitečný.

Nahlášení

První zpráva přišla ve středu večer od Jakuba Boučka. Později se přidalo několik dalších uživatelů. Ale podezřele málo, jen jednotky.

Tak jsem restartoval router a počítač, abych zjistil NXDOMAIN chyba není u mě… https://t.co/EKBxNW70TA @zdrojak pic.twitter.com/VFodRtXHSi

— Jakub Bouček (@JakubBoucek) November 7, 2018

Jakub se nemohl dostat na Zdrojak.cz, konkrétně neviděl vůbec naši doménu. Ani přes nástroj dig z googlu ji neviděl.

Na tom by ještě nebylo nic originálního. Problémy s doménou se občas stávají. Ovšem tenhle jsem nedokázal zpreprodukovat. Dig na mém stroji fungoval bez problému. A i dalším lidem doména fungovala. Hned jsem zkusil několik doménových nástrojů rozmístěných různě po světě a z nich Zdrojak.cz také fungoval.

Lokalizace problému

Co je tedy špatně, že ji Google (a někteří naši uživatelé) nevidí? Co je u nich tak specifického, že zrovna oni? Nebyl jsem schopen chvíli na nic přijít.

Chtěl jsem mít v rukou něco konkrétnějšího, než zalarmuju večer adminy. Tak jsem zkoušel jeden doménový nástroj po druhém. Dlouho bez výsledku, až konečně další doménový nástroj Googlu mi ukázal konkrétnější odpověď. Místo prostého SERVFAIL napsal, že vidí problém v DNSSEC.

Cože, my jsme nasazovali DNSSEC? Kdy? – No alespoň mám první stopu. Pak už to šlo celkem rychle a snadno.

Problém s DNSSEC

Pomocí nástroje dnssec-analyzer.verisignlabs.com jsem našel potvrzení, že problém je opravdu s DNSSEC, viz screenshot.

Moc jsem z něj ovšem nebyl moudrý. O DNSSEC toho moc nevím. Cože to dělá? Podepisují se v něm domény. Tedy přesněji vazba doménové jméno <=> IP adresa, aby někdo nemohl podvrhnout jinou. Co se v tom může pokazit? Další nástroj mi už prozradil dost.

Zkusil jsem dnsviz.net a dostal následující výstup. Konečně něco srozumitelného i pro člověka DNSSEC nepoznamenaného.

Z grafu jsem pochopil, že se zde ověřuje podpis. Vychází se z kořene „.“, následně se ověří zóna „.cz“, to projde a jde se na ověření „zdrojak.cz“, což už neprojde. V levém sloupci vidím červené chyby „Signature Expiration field … is 2 hours, 29 minutes in the past.“ To zní, hmm… jako by vypršel nějaký certifikát? A taky že ano, přesněji tedy vypršela platnost podpisu naší domény.

To nejtěžší bylo hotovo. Za chvíli Zdroják opět běžel všem.

Problémy menšiny se lehce přehlédnou

DNSSEC existuje již několik let, ale není příliš rozšířený. To byl důvod, proč problém hlásila jen podezřelá minorita uživatelů a proč i „běžné“ nástroje pro kontrolu domén fungovaly. V našem případě totiž doména Zdrojak.cz běžela, měla ovšem neplatný podpis. Ty nástroje (ani uživatelé), které DNSSEC nepoužívají žádný, problém nemohly vidět.

Podle CZ.NIC je přes DNSSEC zabezpečeno asi 50 % českých domén, to je celkem velké číslo. Ovšem uživatelů, kteří toho využívají, je velmi málo. Nenašel jsem žádná konkrétní čísla, slyšel jsem jen odhad „asi tak 5 % uživatelů“.

Zjišťoval jsem u kolegů z AdminIT, kteří se o doménu Zdrojak.cz starají, co se vlastně stalo:

• problém díky monitoringu detekovali sami; v době, kdy já jsme teprve hledal, kde je problém, oni ho už řešili
• zatím domény podepisují ručně, obvykle s roční platností; podepisují je vždy při každé editaci, což obvykle stačí, ovšem na Zdrojak.cz se dlouho nic neměnilo, tak podpis vypršel
• pracují na nasazení řešení, kdy se budou doménu podepisovat automaticky dříve než expirují

Díky. Za mě palec nahoru!

Závěr

Pokud o DNSSEC něco víte, tak vás nejspíš nic z tohoto textu nepřekvapilo. Psal jsem ho pro ty, kdo se s ním, podobně jako já, ještě nesetkali. Možná se teď chcete podívat, jak jsou na tom vaše domény. U těch nověji registrovaných pravděpodobně DNSSEC máte a pokud neprovozujete vlastní doménové servery, nemusíte se o něj starat.

Další informace

Pokud se chcete o DNSSEC dozvědět víc, můžete začít třeba seriálem DNSSEC a bezpečné DNS nebo webem www.dnssec.cz.