大家知道什么在中国内地运行，支持 DNSSEC 的对公众开放的 DNS 服务器吗？

#DNS #China #DNSSEC

D'ailleurs l'IANA listant le Siège apostolique comme gestionnaire du .va, ça signifie que le domaine est géré par le pape et la curie. Ça se voit à l'emblème pontifical : il y a les clés #DNSSEC utilisées dessus !

https://fr.wikipedia.org/wiki/Armoiries_du_Vatican

On est dans les locaux de l'#ESG https://www.esg.fr/ Comme c'est une école de commerce, on leur pardonnera le fait que le résolveur #DNS du Wifi "guest" soit 8.8.8.8. (Au moins, comme ça, on a #DNSSEC.)

When I posted this a few hours ago, I had completely forgotten that @dw would be presenting about the algo roll at #OARC41 today. His talk has just wrapped up, but the slides are available (linked below) and the video should be up on OARC's Youtube channel once it's been processed and edited.

https://indico.dns-oarc.net/event/47/contributions/1012/
https://www.youtube.com/dns-oarc

#DNS #DNSSEC

@kleinezeitung internet.nl/site/www.klein…
Liebe Kleinezeitung. #noIPv6 DNS
#DNSsec #noHSTS #noSecurityHeader Da könnt ihr Sicherheit verbessern

Verisign is doing a DNSSEC algorithm roll on the three largest Top Level Domains they operate: .com, .net, and .edu.

https://www.conundrum.com/blog/2023/Sep/com-net-edu-algorithm-roll/

#DNS #DNSSEC #blog #100DaysToOffload

OK, I know a little about DNS but wildcards and DNS are out of my league. Nevertheless, I'm pretty confident that this TYPE65283 shenanigans Cloudflare is using in its #NSEC RR does not come from the RFCs 🤔

#DNSSEC

$ dig prout.cloudflare.com +dnssec
...
;; AUTHORITY SECTION:
prout.cloudflare.com. 3600 IN NSEC \000.prout.cloudflare.com. RRSIG NSEC TYPE65283

See you in #Hamburg for #ICANN78 👋🙂
https://meetings.icann.org/en/icann78
Special thanks the hosts eco, DENIC and Hamburg
#DNS #DNSSEC #IPv4 #IPv6

TIL: https://check.sidnlabs.nl/dane/

#dane #dns #dnssec #tlsa

Donnerwetter. Das erste Mal gesehen, dass bei #Netcup etwas nicht rund läuft. Und zwar #DNSSEC Ansonsten ist dieser Provider (fast) uneingeschränkt zu empfehlen. Nur die Domains sollte man anderswo hosten, wenn man DNSSEC nutzen will. Z.B. bei #INWX

#Bhutan #TLD #dnssec can't be verified anymore due to a bad #signature?! 😮

validating bt/SOA: verify failed due to bad signature (keyid=9021): RRSIG has expired

Je m'ennuie au taf, donc je regarde comment faire de la validation #DNSSEC avec #dnspython. Et peut-être implémenter la chose dans mon check_soa 🤔

https://internet.nl/site/www.mavcsoport.hu/2247467/ rails have lot internet issues.
#ipv6 #dnssec #nohsts #tls1 ##tls1.1 #security headers and missing rpki at #isp
Example of hu rails security

Thinking about my (still WIP) #PiHole setup. AFAICT, the guide for #DoH with #cloudflared at https://docs.pi-hole.net/guides/dns/cloudflared/ only coveres using DoH between the PiHole and the upstream DNS provider (e.g., Cloudflare, Google, etc.). But if I want to use DoH between my browser and my PiHole, I seem to need another DoH Proxy, which makes request flow like this:

1. incoming on dns.ljrk.org:443 (traefik reverse proxy)
2. forwarded to 127.0.0.1:80 (DoH Proxy #1)
3. upstream classic DNS resolver on 127.0.0.1:53 (PiHole)
4. forwards any non-blocked requests to 127.0.0.1:5053 (DoH Proxy #2)
5. upstream DoH DNS resolver such as 1.1.1.1:443/dns-request

Of course, most PiHole setups are local and I'll probably end up opening dns.ljrk.org only through a #TailScale/#HeadScale #VPN, but my browser may still prefer to speak DoH instead of RFC1035. I'm also not sure how #DNSSEC plays into this...

10 Jahre nach Snowden: Schlechteres Netz trotz mehr Vertraulichkeit?​ | heise online https://www.heise.de/news/10-Jahre-nach-Snowden-Schlechteres-Netz-trotz-mehr-Vertraulichkeit-9228856.html #Verschlüsselung #encryption #NSA #BND #DNS #DNSSEC

@bluca why in the heavens there is no trace of #DNSSEC failure? Either admitting this and previous versions contains serious flaw. Or better, fixed version with a note, that this is the first version with properly working validation. Instead there is silence, pretending everything is alright. 🤦🤯

10 Jahre nach Snowden: Schlechteres Netz trotz mehr Vertraulichkeit?​

Zehn Jahre nach Snowden zieht die Internet-Community auf dem IETF-Treffen Bilanz: Wir haben jetzt Verschlüsselung, aber noch eine Menge zu tun.​

https://www.heise.de/news/10-Jahre-nach-Snowden-Schlechteres-Netz-trotz-mehr-Vertraulichkeit-9228856.html?wt_mc=sm.red.ho.mastodon.mastodon.md_beitraege.md_beitraege

#BND #DNS #DNSSEC #EdwardSnowden #IETF #Internet #Netze #NSA #Security #news

The Internet Last Week

* Routing Security Summit 2023
https://www.manrs.org/event/routing-security-summit-2023/
* Venezuela DNSSEC validation issues
https://lists.dns-oarc.net/pipermail/dns-operations/2023-July/022210.html
https://txt.udp53.org/@rr/statuses/01H5S33B0JPJS2WNW4T4G69J9H
https://cloudflare.social/@radar/e833dc17-2867-4bd2-abdd-16fd6c22e11c
* Google DNS implements Extended DNS errors
https://developers.google.com/speed/public-dns/docs/troubleshooting/domains#edes
https://lists.dns-oarc.net/pipermail/dns-operations/2023-July/022225.html

#Routing #BGP #RPKI #DNS #DNSSEC #VE #Google

So, da mit langweilig war, habe ich mal einen kompletten Beitrag zum Einrichten eines #PiHole mit #DNSCryptProxy und DNS-Anfragen über #DoH mit #DNSSec inkl. Update-Anleitungen geschrieben:

https://wutti.com/pihole-installation-config

Tja, Pech gehabt. Kurz ne neue Verbindung mit der #FritzBox 7.56 initiiert und schon kann sich #Wireguard nicht mehr verbinden.

Im #PiHole ist "Use DNSSEC" nicht mal aktiviert 🤔 Wobei ich diese beiden DNS-Server nutze, die vermutlich serverseitig #DNSSEC nutzen...