IT voodoo

Свой DNS-over-HTTPS сервер на базе веб-сервера H2O

Thu, 12 Sep 2019 16:45:53 +0200

Различные аспекты эксплуатации DNS уже неоднократно затрагивались автором в ряде статей опубликованных в рамках блога. При этом, основной акцент всегда делался на повышение безопасности этого ключевого для всего Интернет сервиса.

До последнего времени, несмотря на очевидность уязвимости DNS трафика, который, до сих пор, по большей части, передаётся в открытом виде, для злонамеренных действий со стороны провайдеров, стремящихся повысить своих доходы за счёт встраивания рекламы в контент, государственных силовых органов и цензуры, а также просто преступников, процесс усиления его защиты, несмотря на наличие различных технологий, таких как DNSSEC/DANE, DNScrypt, DNS-over-TLS и DNS-over-HTTPS, буксовал. И если серверные решения, в некоторые из них существуют уже довольно долгое время, широко известны и доступны, то поддержка их со стороны клиентского программного обеспечения оставляет желать много лучшего.

К счастью, ситуация меняется. В частности, разработчики популярного браузера Firefox заявили о планах по включению по умолчанию режима поддержки режима DNS-over-HTTPS (DoH) в ближайшее время. Это должно помочь защитить DNS трафик пользователя WWW от вышеупомянутых угроз, однако потенциально способно вызвать новые.

Миграция на MySQL 8: проблемы и решения

Thu, 27 Sep 2018 13:26:27 +0200

В начале этого года состоялся релиз новой 8 ветки сервера баз данных MySQL. Нумерация была измененена в связи с новыми принципами версионирования MySQL и, по факту, новый выпуск представляет собой версию 5.8.

Среди целого набора новшеств, включённых в новый выпуск, некоторые из них повлияли на обратную совместимость с кодом, использующим MySQL для хранения своих данных.

Ввиду того, что всем рано или поздно придётся развёртывать новые системы или переносить данные со старых установок, автор на своём примере решил осуществить миграцию с предыдущей версии MySQL 5.7 на новый 8 выпуск. С предварительными результатами о замеченными измненениями, оказавшимися критичными для работы прикладного программного обеспечения, а также путями их решения, вас ознакомит эта статья.

Обновление ключа корневой зоны DNS

Thu, 06 Sep 2018 21:14:56 +0200

В конце августа 2018 года ICANN выпустила напоминание о запланированном на октябрь текущего года обновлении ключа подписей Key Sigining Key (KSK) корневой зоны DNS который является ключевым звеном в цепочке доверия DNSSEC.

Впервые корневая зона "." была подписана в 2010 году и с тех пор ключи цифровой подписи не обновлялись ввиду ряда объективных причин, начиная с отсутствия разработанной безопасной процедуры этого обновления и заканчивая неизвестными побочными эффектами, которые могут возникнуть в процессе транзита. Ввиду того, что автор уже довольно подробно останавливался на вопросах механизмов функционирования DNSSEC, а также вопросах практического внедрения этого механизма, далее будут затронуты лишь практические аспекты грядущего обновления.

Блог переехал на Bludit 3

Mon, 27 Aug 2018 11:28:32 +0200

Вчера мой блог переехал на предрелиз новой версии системы управления контентом Bludit 3.

Несмотря на то, что внешне сайт практически не изменился, движок новой версии перетерпел заметные изменения. Впрочем, чтобы не спешить с опубликованием новшеств до момента выхода официального релиза, отложу эту информацию на потом.

Bludit является представителем семейства flatfile систем управления контентом, которые не используют внешних баз данных, что обусловливает минимальные требования к хостингу. Бэкэнд написан на PHP и совместим с любыми версиями, начиная с 5.3. Я написал и поддерживаю несколько плагинов для Bludit:

a2a — кнопки размещения публикации где угодно посредством AddToAny;
ads4u — добавляет рекламный (на самом деле, любой) код на страницу;
yandextools — подключает Яндекс.Вебмастер и Яндекс.Метрика.

В связи с обновлением API в новом релизе все плагины были модифицированы с учётом изменений. Предыдущие версии перенесены в отдельные репозитории на Github с суффиксами -1 или -2 в зависимости от совместимости со старыми версиями.

Переезжаем на wildcard сертификаты Let's Encrypt

Fri, 30 Mar 2018 00:42:19 +0200

Let's encrypt за относительно короткий промежуток времени стал самым популярным в мире центром сертификации (CA) по выпуску TLS-сертификатов. Причиной тому является, во-первых, бесплатность получения сертификата для любого желающего и, во-вторых, удобный механизм его выпуска и продления, когда благодаря множеству способов и программных средств данный процесс можно легко автоматизировать.

Сегодня Let's Encrypt занимает свыше 2/3 общего объёма видимых в Интернет TLS-сертификатов и доля его растёт.

Однако, до недавнего времени эта динамика несколько сдерживалась отсутствием возможности получить т.н. wildcard-сертификат, то есть такой, который покрывает все поддомены в рамках существующего домена более высокого уровня. Несмотря на то, что стандартный механизм Let's Encrypt позволяет иметь в одном сертификате до 200 различных доменов через расширени TLS SNI, это далеко не всегда удобно, ведь для каждого нового домена приходилось включать его в состав уже имеющегося сертификата или выпускать новый.

Ситуация изменилась в марте 2018 года, когда был официально запущен новый протокол и API к нему ACMEv2, одним из ключевых новшеств которого стало появление возможности выпуска wildcard-сертификатов.