kankan

dzięki za mowę trawę, ale rozmawiajmy o konkretach, forum tematyczne w końcu. domen się uczepiłem klasyfikując wielkość operatora wg top100 (druga po home.pl największa firma w PL, oni też dziś zresztą mieli pad w podobnym czasie) a pisze o tym wszystkim, żeby wskazać, że jest to jeden z 500 możliwych przykładów, gdzie firma hostingowa mimo zachowania bardzo dużej staranności nie ma wpływu na działanie usługi bo jest zależna od podmiotów trzecich (w tym przypadku pewnie pana z koparki). to samo w przypadku padu root dnsów (niemcy już mieli, nie są objęte NIS2), bugów 0 day w panelu/systemie/komponentach, które najpierw się pojawiają a są łatane po wielu dniach (których jest ostatnio na pęczki) itd itp. ergo, cały wywoód z głownego posta tego tematu o tym jak NIS2 cokolwiek gwarantuje można rozbić o kant d... dopóki dana firma nie będzie odpowiadała za cały łańcuch "dostaw" od A do Z, a to nie jest fizycznie możliwe.

no i jak to ocenić w świetle NIS2? Incydent poważny? kilka godzin problemów, setki tysięcy domen... kto powinnien raportować? CF czy może jednak Play i Netia? jakie działania na przyszłość wdrożyć, stanowiska ochrony co 500 metrów na trasie światłowodu?

co ciekawe, po zakupie biletu część pociągów ma nawet kilka dni z rzędu planowany postój przez 4-5h dziennie. dla jednej z przejętych marek rss z whmcsa wygląda tak:

nie ma żadnych obowiązków które generowałby potrzeby jakichś rejestracji, audytów itd. jeśli chodzi o cloduflare klient nic nie musi zakładać, cpanel czy directadmin łatwo integrują się z nimi. co do sprzedaży domen to co najmniej jedna firma z top20 rootnode nie oferuje ich rejestracji, a patrząc na setkę to w ogóle będzie tego całkiem sporo. PS. A no i odnośnie tych dnsów to jeszcze coś się może pozmieniać: https://www.gov.pl/attachment/2da2ab2a-d83c-4ccd-a16f-f770933f474f Aktualnie zmiany są na poziomie pierwszego czytania w Radzie.

tekst już w nagłówku delikatnie mówiąc nagina rzeczywistość, bo hostowanie poczty elektronicznej czy stron nie sprawia, że jest się objętym NIS2 wystarczy, że za DNSy będzie robiło cloudflare (oni oczywiście wszystkie wymagania spełnią od A do Z do momentu aż znowu im się jakiś commit omsknie, kek). no ale czego wymagać.... a o NIS2 są już tematy na forum, nie ma moim zdaniem potrzeby kolejnego, autopromocyjnego.

Też mi się spodobał ich czas reakcji. Ale trzeba przyznać, że CERT był trochę szybszy z informacją na swojej stronie, ale co ciekawe żadnej kampanii mailowej nie zrobili (a parę lat temu z XSS w roundcube zrobili niesamowicie ważną sprawę). co do samego incydentu to jego definicja zarówno w KSC jak i w rozporządzeniu UE (gdzie jest to rozpisane tak, że się Eliza Orzeszkowa chowa - cytaty niżej) to jest kolejne złoto, pod które jak sie chce to można podciągnać (albo i nie) cokolwiek. na zdrowy rozum to żadna typowa firma hostignowa która ma nawet kilkadziesiąt tysiecy domen nie powinna podlegać pod podmiot krytyczny, w przeciwieństwie do usług typu Azure, AWS, CF itp, których pady naprawdę wpływają globalnie na Internet (choć te dwie ostatnie to już same ładne publiczne postmortem robią zazwyczaj).

denic twierdzil, że " DENIC eG experienced a disruption in its DNS service for .de domains. As a result, there were temporary limitations in the reachability of .de domains, in particular those signed with DNSSEC". https://blog.denic.de/en/denic-reports-resolved-dnssec-disruption-affecting-de-domains/ a ogólnie, że dnssec to zło to wiadomo od dawna https://ianix.com/pub/dnssec-outages.html

wtem! rootservery .de wywaliło w kosmos, większość domen .de nie działa od kilkudziesięciu minut. i tyle w temacie tego co tam się ustawą czy rozporządzeniem da zagwarantować

@darekmWęgry mają NIS2 od maja 2023, rejestracja podmiotów była do 31 stycznia 2025, termin wykonania audytów przesunęli z grudnia 2025 do czerwca 2026 jak na razie @kafi no zmiana definicji rekursywnych DNS to była "zasługa" konsultacji, bo jakieś tam stowarzyszenie trzepaków się odezwało, z rynku domen/hostingu nie widziałem za bardzo zgłoszeń a teraz tak myślę, że by się przydały

@darekm Węgry chyba mają bardziej rygorystyczną, z krótszymi terminami i oczywiście wiele im tam z tego nie wyszło, kolejny raz je przesuwają. @kafi w temacie różnych ustaw znajdziesz wiele stanowisk Orlenu w konsultacjach publicznych.

@darekmNo NASK jako państwowa instytucja coś w temacie ustawy powinnien mieć po powiedzenia... obserwuje zagraniczne firmy typu reselleclub, enom, openprovider, centralnic i nikt tam nie seugeruje w dokumentacji i mailingach, że ich klienci stają się important entity. całą robotę zwiazaną z nis2 te firmy biorą dla siebie, po to są. obecnie sens istnienia polskich pośredników w stylu hrd w momencie gdy korzystająca z nich osoba/firma ma i tak spełnić wszelkie wymagania NIS2 nie ma większego sensu. mniejsi resellerzy kupią z fakturą na klienta w jakimś OVH, często taniej, a dla większych próg wejścia w rejestracje .pl nie jest jakiś wysoki, .eu to już w ogóle. A jeśli chodzi o miedzynarodowe domeny to przecież oni i tak wszyscy pośredniczą w enomie czy tucows. Przez czterech kluczowych "agentów" domena czasami może przejść zanim trafi do klienta ;)).. W ramach ciekawostek, trochę o NIS2 w .de: "Registration numbers are disappointing, awareness of the directive is alarmingly low, and a significant number of affected companies have made a deliberate choice not to register at all" https://zazoon.com/nis-2-why-germany-is-falling-behind/ a tam to wszystko i tak zdaje się być mądrzej rozwiązane niż u nas, a strony informacyjne na denicu, cert bundzie, bsi itd wiszą od wielu miesięcy (u nas ktoś coś na dns.pl widział bardziej aktualnego niż drafty sprzed 2-3 lat? :D)

tyle, że przecież w przypadku domen .pl nie ma czegoś takiego jak właściciel tylko abonent. niektórzy traktują to tożsamo, ale zdecydowanie tak nie jest. natomiast w innym temacie już pisałem, że z innych implementacji jak i samego nis2 nie wynika, że pośrednictwo w rejestracji (czyli ci co korzystają z hrd, dinfo itd) powinno robić z danego podmiotu kluczowy. dziwi mnie, że NASK w to brnie i mimo, że temat toczy się od 2023 nie ogarnęli tego. Jest mowa o "registrar or an agent acting on behalf of registrars" oraz "privacy or proxy registration service provider or reseller" co zostało ewidentnie źle zinterpretowane i przetłumaczone. to nie jest dobre dla nikogo, tylko rozmywa sens wszystkiego.

sens w dobie amerykańskiego cloudflare i setek końcówek domen "nowej generacji" jest bardzo dyskusyjny, żeby nie powiedzieć żaden.. z kolei blokady już na poziomie resolverów mamy od dawna z tym, że też dotyczą one tego niewielkiego procenta ruchu od ludzi, którzy nie korzystają z 1.1.1.1, 8.8.8.8 i całej reszty molochów.

jeśli chodzi o DNS to jest już w powolnym procedowaniu zmiana obecnych zapisów robiących podmiot kluczowy z operatora DNSa z dwoma domenami na: "wyłączenie mikro- i małych dostawców usług DNS z zakresu stosowania". generalnie fascynuje mnie, że doczepili się tak do tych DNS, pomijając jednocześnie root serwery, no ale "szkoda strzępić ryja". co do domen, to mimo, że sam NIS2 stanowi, że rejestry i rejestratorzy mają się nie dublować w kwestii weryfikacji (czyli na zdrowy rozum to rejestrator powinnien zrobić weryfikację w stylu tej funkcjonujacej od pierdyliarda lat ICANN verification, albo nawet rejestr nadrzędny i tyle) to już widziałem u jednej firmy od hurtowej rejestracji domen interpretację, że to resellerzy mają pierwsi dane klienta, więc oni muszą zrobić weryfikację i oczywiście są podmiotami kluczowymi niezależnie od tego ile mają domen. w oryginale NIS2 czytamy, że "entity providing domain name registration services’ means a registrar or an agent acting on behalf of registrars, such as a privacy or proxy registration service provider or reseller". Tłumaczenie: „podmiot świadczący usługi rejestracji nazw domen oznacza rejestratora lub agenta działającego w imieniu rejestratorów, takiego jak dostawca lub odsprzedawca usług rejestracji w ramach prywatności lub rejestracji przez pełnomocnika" - ja tutaj nie widziałbym Pani Jadzi co zrobiła pięć stron dla zaprzyjaźnionych osób na wordpressie i kupiła im 5 domen, a za "agentów" uznał te rózne firmy whoisprivacy czy njalla anonimzujące w pewien sposób domeny. no ale już w naszym KSC mamy "podmiot świadczący usługi rejestracji nazw domen – rejestratora lub agenta działającego w imieniu rejestratorów, w tym dostawcę lub odsprzedawcę usług w zakresie prywatnej rejestracji lub pośrednictwa w rejestracji" i nagle można to interpretować, że jednak Pani Jadzia to NIS2 jak najbardziej tak! I każda z firm, których jest 4 albo 5 w kolejności do zarobku "orzeszków" na tej samej domenie (bo nie zapominajmy, że poza nazwa w Polsce to np. domeny globalne wszyscy po prostu resellerują na rożnych poziomach) też powinna wdrażać ogólnie nie chce myśleć ile tam w tych przepisach jest koszmarków dotyczących innych dziedzin, na których się nie znam...

w 2-3 firmach tak i z satysfakcją widzę jak im co tydzień w top100 spada ranking ... Inne w tym duże jak OVH ma ceny rzędu kilkudziesięciu złotych rocznie.