CloudFlare DNS

CloudFlare

Это американская компания, которая предоставляет услуги по защите от DDoS атак, распределенной сети доставки (CDN) и безопасных интернет сервисов. Работает с 2009 года и в их клиентах числятся такие гиганты как Nasdaq, DigitalOcean, Zendesk, Eurovision, Udacity и т.п.

DNS

1 апреля 2018 года CloudFlare запустил, аналогично Google (8.8.8.8, 8.8.4.4), свои публичные DNS сервера - 1.1.1.1 и 1.0.0.1.

Фокус в том, что эти публичные сервера ориентированы прежде всего на безопасность. Если Google честно говорит, что данные запросов они собирают и потом на основе этих данных вам будет предлагаться реклама, то CloudFlare заявляет о том, что они не отслеживают кто и что запрашивает.

Но и это еще не все. По данным исследователей - сервера CloudFlare отвечают в среднем в полтора раза быстрее, чем Google. А это заметный прирост к скорости работы в сети.

Но и это далеко не все.

DNS over HTTPS

Теперь, если вы разработчик програмного обеспечения, то вы можете полностью отвязаться от DNS клиента (провайдерский ДНС, настроенный на машине, где запущено ПО) с помощью технологии DNS over HTTPS.

Как это работает? Да все просто. Надо написать обертку, которая будет запрашивать по https сервера CloudFlare преобразование домена в IP и потом посылать запросы по IP к нужным серверам (не забываем при передаче запроса выставить заголовок Host).

Протестировать можно обычным curl:

curl 'https://1.1.1.1/dns-query?ct=application/dns-json&name=lyalyuev.info&type=A'

Ответ будет таким:

{"Status": 0,"TC": false,"RD": true, "RA": true, "AD": false,"CD": false,"Question":[{"name": "lyalyuev.info.", "type": 1}],"Answer":[{"name": "lyalyuev.info.", "type": 1, "TTL": 38400, "data": "51.15.40.165"}]}

Ответ прост и понятен. Очень легко разбирается любым JSON-парсером.

Certificate Authority Authorization

В 2013 году появился черновик стандарта RFC6844, который был призван улучшить безопасность выдаваемых SSL сертификатов с помощью DNS записей. Это предлагается делать с помощью специальных ресурсных записей Certificate Authority Authorization (CAA).

В них перечисляется список доверенных центров сертификации, которым позволено выдавать сертификаты на домен.

Т.е. если в домене установлена запись типа:

example.com. IN CAA 128 issue 'letsencrypt.org'

то никто, кроме letsencrypt.org не в праве выдавать сертификаты на этот домен.

Есть еще расширение issuewild, которое говорит о том, кому разрешено выдавать wildcard сертификаты.

На данный момент не многие центры сертификации поддерживают эти записи, но дело все таки движется.

Из DNS серверов эти записи поддерживают многие, но в различных форматах. Bind9, например, поддерживает стандартную запись, которая указана выше, только с версии 9.9.6. Все версии до этого поддерживают только TYPE257.

Но не стоит сильно заморачиваться, давно существует генератор записей. Идет на сайт, тыкаем галочки и получаем готовые строки для вашей версии.

Полезные DNS утилиты

Использование указанных утилит для работы с домена и DNS сделает вашу жизнь немного проще. :)

Эти утилиты существуют не только для линукс, но и для Mac. Аналоги есть и в виде сайтов. Стоит только немного поискать.

1. Whois

Версия для Mac: whois
Версия для web: http://whois.domaintools.com/)

Whois - это самый простой путь узнать информацию о владельце, серверах имен, регистраторе домена. Полезная утилита, если есть необходимость узнать детальную информацию о домене, если конечно для домена не включена приватная регистрация.

Команда whois поможет узнать, кто отвечает за домен. Полезна для уточнения серверов имен, которые отвечают за этот домен. В случае проблем их можно опросить о записях в этом домене.

Использовать просто. Нужно в консоли написать 'whois' и дальше через пробел имя домена.

whois ubuntu.com