home.social

#cname — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #cname, aggregated by home.social.

  1. L×Box: диагностика per-app трафика, посмотрим кто куда ходит

    Недавно я дебажил проблему «Tinkoff Investments не открывается через VPN» — стандартная, split-routing проблема. Симптом: app запускается, картинки грузятся , но авторизационная сессия не поднимается, login висит. Через 30 минут возни со снапшотами /state , /connections , /logs и ручного matching'а conn_id'ов между ними картина прояснилась. Часть доменов вида *.t-bank-app.ru корректно матчится в мой ru-domains rule_set и идёт напрямую . Но другая часть резолвится через CNAME на *.trbcdn.net (TLD .net !) — этот target в ru-domains уже не попадает, и sing-box честно отправляет трафик через bypass-VPN в Польшу. Получается split: часть запросов уходит с моего домашнего IP, часть — с польского. Bank-backend, который привязывает session к source-IP / fingerprint'у, видит непоследовательного клиента и просто отказывается поднимать auth state. Симптом — «login завис», корень — domain-level split routing внутри одного приложения. Стало ясно: такая диагностика не должна занимать 30 минут. Поэтому в L×Box (мой Android-клиент на sing-box, open source ) появилась фича — Per-app traffic profiler .

    habr.com/ru/articles/1033178/

    #VPN #singbox #Android #Flutter #DNS #CNAME #splitrouting #диагностика #open_source #traffic_profiler

  2. L×Box: диагностика per-app трафика, посмотрим кто куда ходит

    Недавно я дебажил проблему «Tinkoff Investments не открывается через VPN» — стандартная, split-routing проблема. Симптом: app запускается, картинки грузятся , но авторизационная сессия не поднимается, login висит. Через 30 минут возни со снапшотами /state , /connections , /logs и ручного matching'а conn_id'ов между ними картина прояснилась. Часть доменов вида *.t-bank-app.ru корректно матчится в мой ru-domains rule_set и идёт напрямую . Но другая часть резолвится через CNAME на *.trbcdn.net (TLD .net !) — этот target в ru-domains уже не попадает, и sing-box честно отправляет трафик через bypass-VPN в Польшу. Получается split: часть запросов уходит с моего домашнего IP, часть — с польского. Bank-backend, который привязывает session к source-IP / fingerprint'у, видит непоследовательного клиента и просто отказывается поднимать auth state. Симптом — «login завис», корень — domain-level split routing внутри одного приложения. Стало ясно: такая диагностика не должна занимать 30 минут. Поэтому в L×Box (мой Android-клиент на sing-box, open source ) появилась фича — Per-app traffic profiler .

    habr.com/ru/articles/1033178/

    #VPN #singbox #Android #Flutter #DNS #CNAME #splitrouting #диагностика #open_source #traffic_profiler

  3. L×Box: диагностика per-app трафика, посмотрим кто куда ходит

    Недавно я дебажил проблему «Tinkoff Investments не открывается через VPN» — стандартная, split-routing проблема. Симптом: app запускается, картинки грузятся , но авторизационная сессия не поднимается, login висит. Через 30 минут возни со снапшотами /state , /connections , /logs и ручного matching'а conn_id'ов между ними картина прояснилась. Часть доменов вида *.t-bank-app.ru корректно матчится в мой ru-domains rule_set и идёт напрямую . Но другая часть резолвится через CNAME на *.trbcdn.net (TLD .net !) — этот target в ru-domains уже не попадает, и sing-box честно отправляет трафик через bypass-VPN в Польшу. Получается split: часть запросов уходит с моего домашнего IP, часть — с польского. Bank-backend, который привязывает session к source-IP / fingerprint'у, видит непоследовательного клиента и просто отказывается поднимать auth state. Симптом — «login завис», корень — domain-level split routing внутри одного приложения. Стало ясно: такая диагностика не должна занимать 30 минут. Поэтому в L×Box (мой Android-клиент на sing-box, open source ) появилась фича — Per-app traffic profiler .

    habr.com/ru/articles/1033178/

    #VPN #singbox #Android #Flutter #DNS #CNAME #splitrouting #диагностика #open_source #traffic_profiler

  4. L×Box: диагностика per-app трафика, посмотрим кто куда ходит

    Недавно я дебажил проблему «Tinkoff Investments не открывается через VPN» — стандартная, split-routing проблема. Симптом: app запускается, картинки грузятся , но авторизационная сессия не поднимается, login висит. Через 30 минут возни со снапшотами /state , /connections , /logs и ручного matching'а conn_id'ов между ними картина прояснилась. Часть доменов вида *.t-bank-app.ru корректно матчится в мой ru-domains rule_set и идёт напрямую . Но другая часть резолвится через CNAME на *.trbcdn.net (TLD .net !) — этот target в ru-domains уже не попадает, и sing-box честно отправляет трафик через bypass-VPN в Польшу. Получается split: часть запросов уходит с моего домашнего IP, часть — с польского. Bank-backend, который привязывает session к source-IP / fingerprint'у, видит непоследовательного клиента и просто отказывается поднимать auth state. Симптом — «login завис», корень — domain-level split routing внутри одного приложения. Стало ясно: такая диагностика не должна занимать 30 минут. Поэтому в L×Box (мой Android-клиент на sing-box, open source ) появилась фича — Per-app traffic profiler .

    habr.com/ru/articles/1033178/

    #VPN #singbox #Android #Flutter #DNS #CNAME #splitrouting #диагностика #open_source #traffic_profiler

  5. Hm, da lege ich extra ne Subdomain an, weil ich dachte, dass ich darüber meine eigene Fedi-Instanz einrichten könnte, und dann finde ich in der "technischen Verwaltung" nur die Möglichkeit, DNS und CNAME für die Hauptdomain ändern zu können, nicht aber für die Subdomain 🤔

    #Domain #Subdomain #CNAME #DNS #Webhosting
  6. Hm, da lege ich extra ne Subdomain an, weil ich dachte, dass ich darüber meine eigene Fedi-Instanz einrichten könnte, und dann finde ich in der "technischen Verwaltung" nur die Möglichkeit, DNS und CNAME für die Hauptdomain ändern zu können, nicht aber für die Subdomain 🤔

    #Domain #Subdomain #CNAME #DNS #Webhosting
  7. Still the Internet seems to be working despite Let's Encrypt putting IP addresses in certificate common name.

    I. Am. Not. Surprised.

    #pki #cname #letsencrypt

  8. Still the Internet seems to be working despite Let's Encrypt putting IP addresses in certificate common name.

    I. Am. Not. Surprised.

    #pki #cname #letsencrypt

  9. Still the Internet seems to be working despite Let's Encrypt putting IP addresses in certificate common name.

    I. Am. Not. Surprised.

    #pki #cname #letsencrypt

  10. Still the Internet seems to be working despite Let's Encrypt putting IP addresses in certificate common name.

    I. Am. Not. Surprised.

    #pki #cname #letsencrypt

  11. CNAME vs A record: Cloudflare outage report talks about a subtle wrinkle in DNS, where the order of the records matters when it probably shouldn't
    blog.cloudflare.com/cname-a-re
    #postmortem #cloudflare #outage #cname #dns #+

  12. CNAME vs A record: Cloudflare outage report talks about a subtle wrinkle in DNS, where the order of the records matters when it probably shouldn't
    blog.cloudflare.com/cname-a-re
    #postmortem #cloudflare #outage #cname #dns #+

  13. CNAME vs A record: Cloudflare outage report talks about a subtle wrinkle in DNS, where the order of the records matters when it probably shouldn't
    blog.cloudflare.com/cname-a-re
    #postmortem #cloudflare #outage #cname #dns #+

  14. CNAME vs A record: Cloudflare outage report talks about a subtle wrinkle in DNS, where the order of the records matters when it probably shouldn't
    blog.cloudflare.com/cname-a-re
    #postmortem #cloudflare #outage #cname #dns #+

  15. It's been over half a year and the Internet still seems to be working.

    Here's your regular reminder that #cname in #x509 is almost always irrelevant for the validation. If someone is using it, they are doing it wrong.

  16. It's been over half a year and the Internet still seems to be working.

    Here's your regular reminder that #cname in #x509 is almost always irrelevant for the validation. If someone is using it, they are doing it wrong.

  17. It's been over half a year and the Internet still seems to be working.

    Here's your regular reminder that #cname in #x509 is almost always irrelevant for the validation. If someone is using it, they are doing it wrong.

  18. It's been over half a year and the Internet still seems to be working.

    Here's your regular reminder that #cname in #x509 is almost always irrelevant for the validation. If someone is using it, they are doing it wrong.

  19. Wieder zurück ausm Urlaub. Aber mal was anderes:

    Hier gibt es doch viele, die bei #Hetzner hosten, ja? Und da nutzen doch auch viele #WordPress ja? Und vielleicht ist da auch wer mit #MailPoet darunter und könnte mir weiterhelfen.

    Ich soll zwei #CNAME-Einträge für MailPoet anlegen. Und bei Hetzner in der DNS-Konsole hab ich das richtig angelegt. Mit "dkim1.sendingservice.net" als Wert. Bei MailPoet kommt das an mit meiner Domain dahinter, also "dkim1.sendingservice.net.henning-uhle.eu". Wieso passiert das? Und wie stelle ich das ab?

    Vielen Dank schonmal. Und gern #boost und so.

  20. Wieder zurück ausm Urlaub. Aber mal was anderes:

    Hier gibt es doch viele, die bei #Hetzner hosten, ja? Und da nutzen doch auch viele #WordPress ja? Und vielleicht ist da auch wer mit #MailPoet darunter und könnte mir weiterhelfen.

    Ich soll zwei #CNAME-Einträge für MailPoet anlegen. Und bei Hetzner in der DNS-Konsole hab ich das richtig angelegt. Mit "dkim1.sendingservice.net" als Wert. Bei MailPoet kommt das an mit meiner Domain dahinter, also "dkim1.sendingservice.net.henning-uhle.eu". Wieso passiert das? Und wie stelle ich das ab?

    Vielen Dank schonmal. Und gern #boost und so.

  21. Wieder zurück ausm Urlaub. Aber mal was anderes:

    Hier gibt es doch viele, die bei #Hetzner hosten, ja? Und da nutzen doch auch viele #WordPress ja? Und vielleicht ist da auch wer mit #MailPoet darunter und könnte mir weiterhelfen.

    Ich soll zwei #CNAME-Einträge für MailPoet anlegen. Und bei Hetzner in der DNS-Konsole hab ich das richtig angelegt. Mit "dkim1.sendingservice.net" als Wert. Bei MailPoet kommt das an mit meiner Domain dahinter, also "dkim1.sendingservice.net.henning-uhle.eu". Wieso passiert das? Und wie stelle ich das ab?

    Vielen Dank schonmal. Und gern #boost und so.

  22. Wieder zurück ausm Urlaub. Aber mal was anderes:

    Hier gibt es doch viele, die bei #Hetzner hosten, ja? Und da nutzen doch auch viele #WordPress ja? Und vielleicht ist da auch wer mit #MailPoet darunter und könnte mir weiterhelfen.

    Ich soll zwei #CNAME-Einträge für MailPoet anlegen. Und bei Hetzner in der DNS-Konsole hab ich das richtig angelegt. Mit "dkim1.sendingservice.net" als Wert. Bei MailPoet kommt das an mit meiner Domain dahinter, also "dkim1.sendingservice.net.henning-uhle.eu". Wieso passiert das? Und wie stelle ich das ab?

    Vielen Dank schonmal. Und gern #boost und so.

  23. Wieder zurück ausm Urlaub. Aber mal was anderes:

    Hier gibt es doch viele, die bei #Hetzner hosten, ja? Und da nutzen doch auch viele #WordPress ja? Und vielleicht ist da auch wer mit #MailPoet darunter und könnte mir weiterhelfen.

    Ich soll zwei #CNAME-Einträge für MailPoet anlegen. Und bei Hetzner in der DNS-Konsole hab ich das richtig angelegt. Mit "dkim1.sendingservice.net" als Wert. Bei MailPoet kommt das an mit meiner Domain dahinter, also "dkim1.sendingservice.net.henning-uhle.eu". Wieso passiert das? Und wie stelle ich das ab?

    Vielen Dank schonmal. Und gern #boost und so.

  24. So something really weird happened today. I received an abuse report for a dormant domain I have.

    The report pointed to a CNAME subdomain pointing to [org].github.io. The org is still there, the repository that was serving that subdomain is still there, but accessing it led to a phishing page.

    Anyone has seen anything like that? No activity on the github organisation, nothing on audit logs of the affected domain. Nothing makes sense.

    #github #infosec #dns #cname #phishing

  25. So something really weird happened today. I received an abuse report for a dormant domain I have.

    The report pointed to a CNAME subdomain pointing to [org].github.io. The org is still there, the repository that was serving that subdomain is still there, but accessing it led to a phishing page.

    Anyone has seen anything like that? No activity on the github organisation, nothing on audit logs of the affected domain. Nothing makes sense.

    #github #infosec #dns #cname #phishing

  26. So something really weird happened today. I received an abuse report for a dormant domain I have.

    The report pointed to a CNAME subdomain pointing to [org].github.io. The org is still there, the repository that was serving that subdomain is still there, but accessing it led to a phishing page.

    Anyone has seen anything like that? No activity on the github organisation, nothing on audit logs of the affected domain. Nothing makes sense.

    #github #infosec #dns #cname #phishing

  27. So something really weird happened today. I received an abuse report for a dormant domain I have.

    The report pointed to a CNAME subdomain pointing to [org].github.io. The org is still there, the repository that was serving that subdomain is still there, but accessing it led to a phishing page.

    Anyone has seen anything like that? No activity on the github organisation, nothing on audit logs of the affected domain. Nothing makes sense.

    #github #infosec #dns #cname #phishing

  28. So something really weird happened today. I received an abuse report for a dormant domain I have.

    The report pointed to a CNAME subdomain pointing to [org].github.io. The org is still there, the repository that was serving that subdomain is still there, but accessing it led to a phishing page.

    Anyone has seen anything like that? No activity on the github organisation, nothing on audit logs of the affected domain. Nothing makes sense.

    #github #infosec #dns #cname #phishing

  29. I was told that I'm too dumb to understand the threat of putting IP addresses in #x509 #cname, and after two months, the Internet seems to be working just fine.

  30. I was told that I'm too dumb to understand the threat of putting IP addresses in #x509 #cname, and after two months, the Internet seems to be working just fine.

  31. I was told that I'm too dumb to understand the threat of putting IP addresses in #x509 #cname, and after two months, the Internet seems to be working just fine.

  32. I was told that I'm too dumb to understand the threat of putting IP addresses in #x509 #cname, and after two months, the Internet seems to be working just fine.

  33. #DNS 体系中,注册商处填写的 NS 记录与权威服务器上返回的 #NS 记录扮演着不同但关联的角色:

    注册商设置的 NS 记录构成了域名的委托链,它是全球递归解析器寻找权威服务器的起点,决定了
    谁被信任来回答这个域名的查询;而权威服务器自身在响应时返回的 NS 记录,则属于该区域的区域数据,通常用于通知下游服务器该域的权威来源,常见于区域传输或缓存更新。

    尽管 RFC 建议两者保持一致以确保清晰和可维护,但技术上并不要求强制同步 —— 只要权威服务器能正常响应查询,即使其返回的 NS 记录指向一个未注册或看似荒诞的域名,递归解析器仍会接受其提供的 A、
    #CNAME 等答案。因此,你可以在注册商处安全使用真实、可达的 NS 名称,同时在自己的 zone 文件中保留个性化的 NS「签名」,作为一种无害而有趣的极客彩蛋。

  34. Während ich mir die Performancergebnisse zu meinem metalhead.club CDN angesehen habe, ist mir aufgefallen, dass die Namensauflösung einen beträchtlichen Teil der Ladezeit für internationale User ausgemacht hat.

    Woran lag's? An CNAMES!

    Wieso CNAMES problematisch sein können, erfahrt ihr in diesem zweiten Blogpost, den ich während meiner Arbeiten am CDN geschrieben habe:

    "Globale DNS-Auflösung durch Verzicht auf CNAMES beschleunigen" -
    thomas-leister.de/globale-dns-

    #metalheadclub #blog #dns #cname #nameserver #performance #cdn #mastoadmin #mastodon

  35. Während ich mir die Performancergebnisse zu meinem metalhead.club CDN angesehen habe, ist mir aufgefallen, dass die Namensauflösung einen beträchtlichen Teil der Ladezeit für internationale User ausgemacht hat.

    Woran lag's? An CNAMES!

    Wieso CNAMES problematisch sein können, erfahrt ihr in diesem zweiten Blogpost, den ich während meiner Arbeiten am CDN geschrieben habe:

    "Globale DNS-Auflösung durch Verzicht auf CNAMES beschleunigen" -
    thomas-leister.de/globale-dns-

    #metalheadclub #blog #dns #cname #nameserver #performance #cdn #mastoadmin #mastodon

  36. Während ich mir die Performancergebnisse zu meinem metalhead.club CDN angesehen habe, ist mir aufgefallen, dass die Namensauflösung einen beträchtlichen Teil der Ladezeit für internationale User ausgemacht hat.

    Woran lag's? An CNAMES!

    Wieso CNAMES problematisch sein können, erfahrt ihr in diesem zweiten Blogpost, den ich während meiner Arbeiten am CDN geschrieben habe:

    "Globale DNS-Auflösung durch Verzicht auf CNAMES beschleunigen" -
    thomas-leister.de/globale-dns-

    #metalheadclub #blog #dns #cname #nameserver #performance #cdn #mastoadmin #mastodon

  37. Während ich mir die Performancergebnisse zu meinem metalhead.club CDN angesehen habe, ist mir aufgefallen, dass die Namensauflösung einen beträchtlichen Teil der Ladezeit für internationale User ausgemacht hat.

    Woran lag's? An CNAMES!

    Wieso CNAMES problematisch sein können, erfahrt ihr in diesem zweiten Blogpost, den ich während meiner Arbeiten am CDN geschrieben habe:

    "Globale DNS-Auflösung durch Verzicht auf CNAMES beschleunigen" -
    thomas-leister.de/globale-dns-

    #metalheadclub #blog #dns #cname #nameserver #performance #cdn #mastoadmin #mastodon

  38. Während ich mir die Performancergebnisse zu meinem metalhead.club CDN angesehen habe, ist mir aufgefallen, dass die Namensauflösung einen beträchtlichen Teil der Ladezeit für internationale User ausgemacht hat.

    Woran lag's? An CNAMES!

    Wieso CNAMES problematisch sein können, erfahrt ihr in diesem zweiten Blogpost, den ich während meiner Arbeiten am CDN geschrieben habe:

    "Globale DNS-Auflösung durch Verzicht auf CNAMES beschleunigen" -
    thomas-leister.de/globale-dns-

    #metalheadclub #blog #dns #cname #nameserver #performance #cdn #mastoadmin #mastodon

  39. CNAME record still not updated even in the authoritative DNS server :dragnsad:

    #dns #cname #cname_record