Co by było gdyby serwery DNS były tylko w wersji IPv6… zupełnie przypadkiem przetestowaliśmy to dla serwisu allegro.pl. Opowiem jak to się objawiło, czy i na ile serwis był dostępny dla klientów oraz jakie wnioski wyciągnęliśmy z tej lekcji. W drugiej części opowiemy o zmianie z http://allegro.pl na https://allegro.pl widzianej z perspektywy admina. Dlaczego to nie było takie łatwe jakby się mogło wydawać. Dowiecie się o wyzwaniach które napotkaliśmy na drodze do pełnego szyfrowania i niekoniecznie technicznych kwestiach na które szyfrowanie miało ogromny wpływ. Dlaczego zmieniając coś w TLS musieliśmy wykonać setki telefonów… Przekażemy także kilka wskazówek jak mieć TLS na A+.
11. At the moment we have configure glue record to IPv4 adresses.
Please, add IPv6 adresses:
dns1.allegro.pl - 2a02:dcc:20::5
dns2.allegro.pl - 2a02:dc8:20::5
dns3.allegro.pl - 2a01:1100:c::5
dns4.allegro.pl - 2a02:c10:2181::5
Zmiana w glue record.
16. Witam,
Od kilku dni klienci korzystający z jednego z naszych sewerów dns mają problem z otwieraniem stron allegro i ceneo ( brak zdjęć), nie występuje to cały czas. Na naszym serwerze
DNS
O adresie A.B.C.D mam logi:
Nov 19 09:21:40 dns2 named[1564]: error (network unreachable) resolving 'dns3.allegro.pl/AAAA/IN': 2a02:c10:2181::5#53
Nov 19 09:21:40 dns2 named[1564]: error (network unreachable) resolving 'dns1.allegro.pl/AAAA/IN': 2a02:c10:2181::5#53
Nov 19 09:26:41 dns2 named[1564]: error (connection refused) resolving 'dns1.allegro.pl/A/IN': 213.180.138.53#53
Nov 19 09:26:41 dns2 named[1564]: error (connection refused) resolving 'dns3.allegro.pl/A/IN': 213.180.138.53#53
Nov 19 09:26:41 dns2 named[1564]: error (connection refused) resolving 'dns2.allegro.pl/AAAA/IN': 213.180.138.53#53
Nov 19 09:26:41 dns2 named[1564]: error (connection refused) resolving 'dns1.allegro.pl/AAAA/IN': 213.180.138.53#53
Nov 19 09:26:41 dns2 named[1564]: error (network unreachable) resolving 'dns1.allegro.pl/A/IN': 2a02:c10:2181::5#53
Nov 19 09:26:41 dns2 named[1564]: error (connection refused) resolving 'dns3.allegro.pl/AAAA/IN': 213.180.138.53#53
Nov 19 09:26:41 dns2 named[1564]: error (network unreachable) resolving 'dns1.allegro.pl/AAAA/IN': 2a02:c10:2181::5#53
Nov 19 09:28:44 dns2 named[1564]: error (connection refused) resolving 't.allegro.pl/AAAA/IN': 213.180.138.53#53
Nov 19 09:29:23 dns2 named[1564]: error (network unreachable) resolving 'ms.allegro.pl/A/IN': 2a02:dcc:20::5#53
Nov 19 09:29:23 dns2 named[1564]: error (network unreachable) resolving 'ms.allegro.pl/A/IN': 2a02:dc8:20::5#53
Nov 19 09:29:23 dns2 named[1564]: error (network unreachable) resolving 'ms.allegro.pl/A/IN': 2a01:1100:c::5#53
Nov 19 09:29:23 dns2 named[1564]: error (network unreachable) resolving 'ms.allegro.pl/A/IN': 2a02:c10:2181::5#53
Martwi mnie to „connection refuse”, na naszym primary serwerze dns tego nie ma.
Dwa tygodnie później...
17. Niestety na obu naszych serwerach A.B.C.D oraz E.F.G.H występują problemy z rozwiązywaniem ceneo.pl ( oraz allegro), problemy pojawiają się i znikają, w tej
chwili:
dig @A.B.C.D. ceneo.pl
; <<>> DiG 9.8.1-P1 <<>> @A.B.C.D ceneo.pl
; (1 server found)
;; global options: +cmd
;; Got answer:
;; >>HEADER<< opcode: QUERY, status: SERVFAIL, id: 35686
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;ceneo.pl. IN A
;; Query time: 1 msec
;; SERVER: A.B.C.D#53(A.B.C.D)
;; WHEN: Mon Nov 19 15:44:31 2018
;; MSG SIZE rcvd: 26
Problem dotyczy tylko domen obsługiwanych przez allegro, czy jest konieczność uruchomienia serwera dns działającego również w wersji IPv6 ?
Dwa tygodnie później...
27. 27
To ile serwerów kupić pod te dodatkowe obrazki?
curl -I https://example-img.com/skoda-fabia-niebita | grep content-length
content-length: 4275
RFC2616
The Content-Length entity-header field indicates the size of the entity-body,
in decimal number of OCTETs, sent to the recipient or, in the case of the HEAD
method, the size of the entity-body that would have been sent had the request
been a GET.
31. 31
• Wsparcie jedynie dla Fedora 12,
• OpenSSL <= 1.0.1h,
• Kryptografia symetryczna porównywalna z tym co robi CPU z AES-NI,
• Bardzo słaba wydajność na szyfrach opartych na ECC (ECDSA, ECDH),
• Blokujące API Cavium, W momencie gdy wszystkie procesy jednocześnie oczekiwały na
odpowiedź od karty SSL off-loader przestawał przetwarzać ruch,
Sprzętowa akceleracja SSL - wyniki testów 2016
42. 2018-04-13 - Nikt nie odbiera
2018-04-18 - Nikt nie odbiera
2018-04-20 - Nikt nie odbiera
2018-04-10 Potraktował mail jako spam
i zapomniał o nim :-). Ale że jak
dzwonię, to chyba nie spam :-).
Przekaże programiście jeśli będą mieli
jakieś pytania napiszą mailowo. Bardzo
podziękował za telefon bo jak stwierdził
zaliczyli by mega wtopę :-)
2018-04-13 Numer na infolinię Pani
przekażę koledze co zajmuje się takimi
sprawami u nich w firmie jak będzie mieć
pytania da znać.
2018-04-13 Oddzwonił szef miał jeszcze
parę pytań, bardzo się ucieszył, że tak
dbamy o klientów :-)
2018-04-18 Nikt nie odbiera
2018-04-20 Tak dostali maila
wiedzą dziękują za info
2018-04-10 Wiedzą
pamiętają,
właśnie nad tym pracują.
Dziękują za pamięć :-)
2018-04-13 Jest mail pamiętają w
razie pytań będą dzwonić/pisać
2018-04-13 - Napisali maila z
pytaniami
2018-04-18 Nie wie czy ktoś otworzył
nawet tego maila, prosiła o ponowne
jego przesłanie, tym razem na
skrzynkę swoją własną służbową.
Zajmą się tematem.
43.
44. 44
• WebAPI • Mobile Apps • https://allegro.pl
Udział TLSv1.0 lub 3DES tuż przed wyłączeniem