De centrale DNS-servers van ru.nl voor externe requests werkten niet goed doordat ze te veel bevraagd werden, waardoor ook o.a. science.ru.nl soms niet gevonden kon worden: DNS-namen onder ru.nl resolven dan niet naar een IP-adres. We hebben enkele TTL’s (time-to-lives) vergroot om te proberen de overlast iets minder te maken. Deze kleine TTL’s waren bedoeld om in het geval van problemen met deze servers de service snel te kunnen verhuizen, maar dragen nu bij aan de overlast....

Door niet goed werkende DNS-servers van ru.nl werkt DNS voor subzones als science.ru.nl niet, waardoor geen enkele DNS-naam nog kan resolven naar een IP-adres bij FNWI. Een workaround is als men handmatig als DNS-servers invoert: 131.174.224.4 en 8.8.8.8. Wie pas na 11:15 uur voor het eerst probeert een Science-dienst te benaderen (bv matlab.science.ru.nl) krijgt een fout als “No such domain” of “Cannot resolve”. Herstarten van de RU DNS servers om 12:45 heeft misschien het probleem opgelost....

Als vereiste voor het RU-project “Invoering Veilige Email-standaarden”, waarin de Pas-Toe-of-Leg-Uit lijst van verplichte open standaarden afgewerkt wordt, is DNSSEC ingevoerd voor de maildomeinen die C&CZ beheert onder ru.nl (science.ru.nl, cs.ru.nl, astro.ru.nl, math.ru.nl, …). Voor meer info over DNSSEC zie bv. de Engelstalige Wikipedia over DNSSEC.

C&CZ maakt voor het merendeel van de services gebruik van vrije software en opensourcesoftware. Daarom is al enige tijd geleden het idee ontstaan dat de C&CZ-medewerkers elk jaar zouden stemmen welke projecten een donatie van C&CZ zouden krijgen. Dit jaar is de keus gevallen op het Internet Systems Consortium, OpenBSD en net als vorig jaar de Free Software Foundation (FSF). Het Internet Systems Consortium maakt o.a. BIND (DNS/nameserver) en ISC DHCP, beide basisdiensten van het netwerk/Internet in gebruik bij C&CZ....

C&CZ heeft in alle DNS-zones DNS CAA Resource Records ingevoerd. Daardoor hebben we per 8 september 2017 meer controle over SSL-certificaten voor onze domeinen. Een hack bij een willekeurige uitgever van certificaten, zoals die in 2011 bij Diginotar, kan dan niet gebruikt worden om valse certificaten voor onze domeinen te maken, omdat we in het CAA-record aangegeven hebben dat we alleen certificaten uitgegeven door DigiCert gebruiken.

Wie thuis een science.ru.nl nameserver als ns1.science.ru.nl ingesteld heeft, kan die DNS-servers nu beter uit de lijst van DNS-servers halen. De reden is de invoering van split-view DNS, waarbij interne (RU op de campus) pc’s andere antwoorden kunnen krijgen dan externe klanten. Dit is een aantal maanden geleden voor o.a. de DNS zones ru.nl en heyendaal.net door het UCI ingevoerd in het kader van ICT-beveiliging.