昨日,うちのサイトが表示されなかったのは, eNom が DDoS 攻撃を受けたせいだった。

 昨日の 17:00 ごろ,「正引き」ができなくてうちのサイトが表示されないという書き込みを,くりくりさんが TODOS にされていた。多分, ‘ERR_NAME_NOT_RESOLVED’ か ‘DNS_PROBE_FINISHED_NXDOMAIN’ が出たんだと思う。

 私が彼の書き込みを発見して驚いたのは, 19:30 ごろ。チョー遅 (^_^;)。またもややらかしたかと慌ててチェックしたが,今回は私のドジではなかった。

 くりくりさんがeNomのネームサーバー障害を教えてくれたし,私は私で,以下を発見した。 enomsupport1, enomsupport2, enomsupport3 及び enomsupport4

 昨日, eNom に激しい DDoS 攻撃があったそうで,このせいで名前解決にも問題が発生したということだ。 ‘eNom hit with DDoS attack – domain registrar is currently stable’ にまとめてくれた人がいた。

「昨日,うちのサイトが表示されなかったのは, eNom が DDoS 攻撃を受けたせいだった。」への22件のフィードバック

  1. こんにちは

    やっぱり、DDOS攻撃でしたか
    この攻撃は正直どうにもなりません。
    バリュードメインが攻撃受けた時も製作側のドメインはアクセスできず。サーバー用のホストネームはサーバーのdnsを指定してあったので問題なしです。

    さて、ドメインハイジャック
    思い出しました。これでバリュードメインのパスワード変更したんだ。

    検知ですが、定期的なwhoisやるしかないのかな。
    でも、登録者情報も1,2日で元に戻った事例もあるみたいですし実行間隔によってはきがつかないなんてことも
    難しいな。

    1. くりくりさん,こんばんは。

      ガラス交換,無事終わったようでよかったですね。おつかれさまでした。

      > やっぱり、DDOS攻撃でしたか

      ええ。しかし,あんな大手なのに,バックアップのネームサーバは立ててないのでしょうか?しかも,なんでそうなったのという理由は, @enomsupport には書いてないですしね。 DDoS というのは, ‘eNom hit with DDoS attack – domain registrar is currently stable’ の方で知ったことです。 DDNS の関係でやむなく使っているのですが,ちょっと,不満が生じましたね。今回の件で,改善されるかもしれませんが……。

      Ivan が Announcing SSL Labs Grading Changes for 2017 というのを書いていました。要約すると,以下のようです。
      – 3DES が使われていると減点
      – A 評価には Forward secrecy 必須
      – A+ 評価には AEAD suites 必須
      – 128bit 未満の cipher が使われていたら F
      – SHA1 は廃止
      これに照らし合わせると,うちの場合, iOS の旧い分のために CBC を残してるので, 2017 年になると, A 評価に戻るかもですね。

  2. こんにちは

    >おつかれさまでした。

    ありがとうございます。
    休みは休みで色々やることがありますな。
    なんか休んだ気がしません。

    >バックアップのネームサーバは立ててないのでしょうか?
    大手ならあってもおかしくないんですが・・・。
    バリュードメインも切り替えていますし。
    今回の件で増強されればいんですが、

    詳細についてはテロとか捜査の関係とかですかね?
    よくわかりませんがw
    アメリカじゃ訴訟に発展してもおかしくない案件だと思います。

    ssllabsが変更になるのかー。
    来年も古いブラウザと新しいブラウザの間で調整が必要になってくるんでしょうね。

    1. くりくりさん,こんにちは。

      お休みでも,忙しそうですね。

      > テロとか捜査の関係とかですかね?

      どうなんでしょう?
      今朝のコメントを書いたのちに思ったのですが,バツクアップがあっても,そっちも一緒に DDoS を食らうようなドジだったとか,あるでしょうか?それだと,もっと心配になったりしますが……。

      @enomsupport の今回の件のところには,どこにも DDoS の言葉がないので,まとめページを書いた人はどこから拾ってきたのだろうと思って,文章で検索をかけたら,見つかりました。 @enomsupport ではなく, @enom の方にありました。日付が Nov.17 になってます。

      SSLLABS の件ですが, Ivan はやはり啓蒙も考えて基準を作っているんですね。しかし,日本は HTTPS とかは遅れてます。根本的に,なじまない文化なのかもしれませんが,これだけ,地球が狭くなってくるとそうもいっていられませんねぇ。
      昔,西部劇を見てるとき,銀行の窓口が檻に入ったようになってるのが,子供心に不思議でした。アメリカとは若干違いますが,英仏で教育を受けて大人となったのち日本に来た小泉八雲は,逆の意味で驚いたらしきことを,その著に書いています。
      これだけ地球が狭くなってくると,銀行の窓口を檻にするような文化圏の人々と日常的に付き合わないといけないわけですから, HTTPS なども頑張らないといけないですねぇ。

  3. 今晩は

    もう何もやりません。
    遊びます。

    >DDoS を食らうようなドジだったとか,あるでしょうか?
    バリュードメインはそうでしたよね。
    でも、想定の50倍らしいから仕方ないのかな。
    こればっかりはわかりませんね。

    >https
    なかなか移行が進まずやきもきしてるうちの一人ですが、
    何が原因なのか・・・。
    移行はもう時間の問題なんですけどね。

    1. くりくりさん,こんにちは。

      > 想定の50倍らしいから仕方ないのかな。

      eNom も想定外だったかもしれませんね。今回についてはそう思っておき,今後の彼らの保守改善に期待しておきます。

      DNS Hijacking ですが,先日のリンク先を読み返していて,「自分が得た情報として、これにはもう一つ条件があるのだが、それをあまり書くのも個人情報的な観点から問題があるのでここでは書かない。」という書き込みに気づきました。これ,案外大きな要素を書き手が隠しているのかもしれないと思い, eNom だけの責任にはできないのかもと,思い始めました。こういう書き方をされると,相手の腹を探りたくなります。「痛くない腹」かもしれませんが……。

      Kaspersky Lab の Q3 の報告書が出ましたね。→元文書
      なんなんですかねぇ,この状況。

      そういえば,まだ読んでませんが,「SHA-1 deprecation countdown」というのも出てました。書き手が, Microsoft Edge Team ですから,いよいよ感が半端ないです。

  4. こんにちは

    CT(TLSの拡張機能)はSNIみたい機能がないかと予想。
    だから、ホストネームだけ(com)が大丈夫なのかなとおもっています。
    domainsとか色々キーワードで調べてますが解決法がみつかりません。

    >SSLLABS で Common names の Mismatch が出ませんが,どうしてでしょうか?

    証明書一枚でsniを使ってないからでしょう。
    証明書2枚使えばでるようになりますよ。

    >Kaspersky Lab
    セキュリティに対する意識の低さは
    国民的なものなんですかね?

    >sha1
    chromeもセキュリティブログででいました。
    すっかり忘れていました。
    とっくに終った問題だと思っていましたw

    追記、nginx経由apacheでうごいてるものは評価がAになります。
    php-fpmだと評価A+。

    1. くりくりさん,こんばんは。

      SNI の件でしたね。しっかり, SNI と書いてあるのに(滝汗)。
      なんか,未だに, SNI と SAN がこんがらがってます。日ごろ, SAN だけしか使っていないから, SNI のことをフッと忘れてしまうんでしょうね。

      > ホストネームだけ(com)が大丈夫なのかなとおもっています。

      同一 IP アドレス上で, SNI を使って HTTPS をやっている場合,デフォルトのサーバのホストネームだけが生きるという意味ですか?
      ところで, nginx-ct/README を読んでみましたら,コンフィグの説明のところに, SNI 対応でないかと思えるような記述があるのですが,すでにお試し済みでしょうか?
      com: https://crt.sh/?id=47110837
      net: https://crt.sh/?id=54178884
      top: https://crt.sh/?id=47109624
      を見る限り, com, net, top ごとに SCT が独立してあるようなので,使えるのではないかと思うのですが……

      > とっくに終った問題だと思っていましたw

      ですねぇ。こういうのの移行って,本当に,時間かかりますね。

  5. 今晩は

    明日の夜から関東は雪になるらしく
    慌てて冬用タイヤに交換してきました。
    前ガソリンスタンドで2000円だったのが今回は1080円。
    この付近で一番安かった。明日当たり関東の自動車屋さんはタイヤ交換で混むんじゃないかな?

    >SNI と書いてあるのに(滝汗)
    ワハハw
    普通は複数のドメインつかいませんからw

    >デフォルトのサーバのホストネーム
    はい。

    >すでにお試し済みでしょうか?

    nginx1.11.0というところに複数の証明書とかいてありますね。自分はドメインごとにconfファイルをつくってますから、
    3つに下記が書いてあります。
    ssl_ct on;
    ssl_certificate /path/to/rsa.pem;
    ssl_certificate_key /path/to/rsa.key;
    ssl_ct_static_scts /path/to/rsa/scts;

    1. くりくりさん,こんばんは。

      この間灯油を買いに行ったら, 18 リットルがなんと¥1,040 でした。ガソリンは去年より上がっているのに,どうしてこんなに安いんだろう?安売り中とかの張り紙はなかったのですが,たまたま,シーズン初めだったからとかいうことでしょうか?この次も安かったらいいな。

      ところで, 3 つの conf ファイルの priority はどうなってるんでしょうか?いろいろ,読んでみてたんですが,

      > 3つに下記が書いてあります。

      というのが,悪いのではないかと思い出しました。 nginx は知らないのですが, Apache の場合, VirtualHost を作るときの記述順というのは,結構大事だったように覚えています。 nginx-ct/README のところの書き方も, ssl_ct on; が一度しか出てこないような書き方になってますので, conf は 1 枚になっているのではないかと思うのです。 ssl_ct on; が出て来たときのサーバの具体的な動きというのが分からないので,単なるあてずっぽうですが……。

  6. おはようございます。

    今日は関東は雪です。ストーブだけじゃ寒いかな。
    >安い
    普通は値段あがりますね。しかし、最近まで暖ったから、灯油は安い時に購入したものが売れ残っていたんじゃ?
    値段のつけかたがいまいちわからない。
    もっと消費者にわかるようにしてほしいものです。

    >confの記述順序。
    https://httpd.apache.org/docs/2.2/ja/vhosts/examples.html
    これのことかな?
    apacheもnginxもこういう書き方はしていません。
    nginx.confだけに記述するとかなり長くなるので下記のようにドメインごとにserverブロックで記述して外部ファイルを読み込むような形にしています。
    include /etc/nginx/vhost/*.conf;

    CTは長期戦になりそうですよ。
    やれやれw

    1. くりくりさん,こんにちは。

      雪はどうですか?少しは良くなりましたか?気象衛星の画像を見ると,雲が減ってきているように見えますが……

      ところで,各 cnf が読み込まれるたびに ssl_ct on; で初期化&読み込みが起きるのではないかと, conf の priority が気になっていたのですが,解決策らしき書き込みを issues で見つけました。 SCT の方を一つのディレクトリにまとめるといいみたいなことを書いてあります。
      Auto-detect applicable SCTs in multi-vhost setups

      意図するところが,「SCT の動作をグローバルに指定することで構成のオーバーヘッドを避ける」となっていて, thums up が 3 つついているので,使えるのではないかと思います。

  7. おはようございます。

    帰宅する時間には雪はほとんどとけていました。
    本当、関東は雪に弱すぎですな。

    >SCT
    いつもありがとうございます。
    netとcomのファイルをひとつのディレクトリにしました。しかし、comのほうに出力されてしまいます。この投稿が5月だとするとopensslの1.0.2じゃないとだめなのかな。
    また、そのうち挑戦します。

    1. くりくりさん,おはようございます。

      天気図を見ると,雪は上がったようですね。 1 日ですんでよかったです。
      雪国の出ではないので,未だに雪が降ると子供のようにワクワクしますが,実際問題としては,大雪は,家屋に被害が出たりして困ります。今年の冬の雪のときはプラス 1 日中氷点下で,庭の柑橘類に低温被害が出たり大変でした。この冬も,降って冷えるんでしょうかねぇ。

      ところで,
      ダメでしたか!! orz

      見つけて喜んで,コメントに書いてしまいましたが, issues にあるということは,未解決なんでしょうか? GitHub のシステムがよく理解できていないところがあるのですが, issues に書いてあって thumbs up が増えてくると,次のときに対応してくれるとかそういうことなのかなぁ?
      文章を読む限りできたように感じましたが, “if the module only added SCTs applicable to the current vhost’s certificate” のところがうまくいかないということですね。
      かえって,お手間を取らしちゃいましたねぇ(溜息)。

  8. こんにちは

    雪がとけるときに周りの熱をうばうのか?
    今日は寒いです。
    そういえば雪で車が立ち往生すると罰則になるそうですよ。
    http://headlines.yahoo.co.jp/hl?a=20161123-00000012-jij-pol
    冬用タイヤでもだめみたいですな。
    こりゃまいったな。自分の車は400ナンバーなんで通販とかじゃないとうってないし。

    >未解決なんでしょうか?
    解決方法がわかってわざとずっとオープンの状態にしてるとおもいますよ。クローズしちゃうとわかりませんしね。

    >お手間を取らしちゃいましたねぇ(溜息)。
    いえいえいつもありがとうございます。
    この手のサードパーティ製のモジュールはいつ開発が止まるかわからないし怖いです。
    CTとかBrotliは本体のモジュールに追加されると思いますが、

    1. くりくりさん,こんにちは。

      > 雪がとけるときに周りの熱をうばうのか?

      融解熱ですね。いくらだったっけと調べたら, 333.5 J/g と Wikipedia に載っていましたが,私は古いもので, cal/g でないとピント来ないです。
      換算したら, 333.5 ÷ 4.2 ≒ 80 cal/g となり,そうだったそうだったと思いました。 1g あたりでこのくらい冷えますからねぇ。雪解けの日は寒くなるはずです!!

      チェーンの話,一律ですか?まぁ,立ち往生しなければいいんでしょうが……。法規制すると,一律しか仕方ないでしょうけどねぇ。「チェーンを付けたから,大丈夫」という変な人も出てくるかもしれません。
      私の車は,軽ですが, 4WD の MT 車です。経験から言うと, 10-15cm くらいの雪なら,新しいタイヤを履いていればノーマルでも大丈夫です。厳密にいうと,雪の深さだけでなく,温度の影響が大きいですけどね。凍結状態のときには,氷が解けてくる氷点付近はスケート場状態になって怖いです。九州ですが,毎年結構雪の積もるところなので,通勤で早出の多かったころまでは,毎冬の初め皆が冬用のタイヤに換えるころに, 4 つとも新品のタイヤを購入してました。安ーいのでしたが。
      あとは,運転に気を付けることですよね。間違っても急ブレーキは踏まないこと。最近の車は,たいがいアンチスキッドがついてますけど,過信はいけません。四駆は限界速度越えると,二駆以上に怖い動きをしますからねぇ。

      > クローズしちゃうとわかりませんしね。

      クローズはクローズで見えますよね。見てみたら,どうもクローズが解決分で,オープンが未解決分ですね。そのクローズの方を見てみたら, nginx 1.11.0 multiple certificate support というのがありました。最近,サポートしたんですね。
      また,オープンの方に, OpenSSL 1.1.0 compatibility というのもありました。日付を見ると,くりくりさんのご懸念通り,未だ, 1.1.0 未対応のようです。

      > CTとかBrotliは本体のモジュールに追加されると思いますが、

      GitHub で開発されてて,止まっちゃうものも多いですが,そのまま, core に入ってくる分もありますねぇ。 nginx-ct については,まだ判然としませんが,どうなるんでしょうか?

      おや,長くなっちゃいました。悪しからず(汗)。

  9. おはようございます。

    >4WD の MT 車
    おお、いつも大雪の時はうらやましいと思いますが、

    >二駆以上に怖い動き
    やっぱりここは4WDとか関係ないのかな。

    >どうなるんでしょうか?
    今のmainlineバージョンにはいるんじゃないのかな?
    そうしないと来年の安定バージョンでCT対応とれませんよ。

    さて、php7.1.0のGAが12/1とwikiに出ていました。
    今週は楽しみです。

    1. くりくりさん,こんばんは。

      > やっぱりここは4WDとか関係ないのかな。

      もっと,悪いかな。滑り出したら 4 つとも同じ調子で滑るから,スピンとかではなく,そのまま吹っ飛んでいくことになります。カーブなんかでは,マジ,シャレにならないんじゃないかと思います(滝汗)。

      > php7.1.0のGAが12/1とwikiに出ていました。

      オオーッ。昨日, phpMyAdmin4.6.5.1 (4.6.5 は気づかずじまいで, 4.6.5.1 にしました) にしたんですが, Weekly phpMyAdmin contributions 2016-W46 あたりを見ると, phpMyAdmin も 7.1.x への対応が進んでるみたいですね。

      nginx-ct の OpenSSL1.1.x への対応についての情報を得るためには,例のとこをときどき見るのが一番いいんでしょうかねぇ? 3 週間近く,音沙汰なしってのは,どうなんだろ???

  10. こんにちは

    >もっと,悪いかな
    運転したことないから経験がありませんが、
    なるほどそういうリスクもあるんですね。
    そこら辺は全然わかりませんでした。

    >ときどき見るのが一番いいんでしょうかねぇ?

    ここもみますが、ネットサーフィンやnginxのフォーラムで
    解決法が見つかったりします。

    >どうなんだろ???

    openssl-1.1.0ってサポート短いし
    OSでいうvistaみたい感じがするなー。
    意図的に開発者からスルーされてるようなきがしますよ(笑)

    >php7.1.0
    opensslのバージョンに悩んでいます。
    1.0.2かな。

    1. くりくりさん,こんばんは。

      > 1.0.2かな。

      でしょうねぇ。 OpenSSL1.0.2 は LTS だし,現時点では, 1.0.3 はまだ影も形もないですから。

      そういえば, Upgrade Insecure Requests の件をお書きでしたね。うちの場合は,ユーザが私だけなので,コードの方で対処してるというか,使っていません。 html 内の javascrript や css も影響を受けますので。
      例えば, Let’s Encrypt で証明書を SAN 対応に作り替えたときにドジを踏んで, june さんのところで,エラーメッセージが表示されたとき june さんが画像をくださったのですが, http だったので注意が出ました。で,画像をダウンロードして,我が家に置きそこにリンクする形をとりました。まぁ,大手相手だと, https でアクセスして,向こうが, http で表示するというのもありますね。その場合は,表示されるのは別サイトになりますから,当方にはかかわりなしになりますが。

  11. こんにちは

    これことだとおもいますが、

    Now showing all certificates discovered during assessment. This includes RSA, ECDSA and non-SNI certificates.

    https://community.qualys.com/docs/DOC-5737?_ga=1.55692395.1743532106.1480473684

    topとnetで試すとno sniの所でclick hereをクリックするとCertificate #2でcomの証明書がでます。
    comで試すと他の証明書はでませんでした。

    sniに対応してないブラウザを想定してるんだろうが、
    comの証明書がぼろぼろの評価です(笑)

    1. くりくりさん,こんにちは。

      早速ありがとうございました。

      > これことだとおもいますが、

      はい,そのことです。 com が SNI 非対応ということで,そういうことになるということなんですかね?なんか,感触がつかめないなぁ。
      SSLLABS も日々進化しているようです。チェックサイトとしては,一押しだと思うので,当たり前でしょうけど。進化しないと,どんどん取り残されてしまいますもんね。

      DEV の方では, Per-Protocol Cipher Suite Detection in SSL Labs も始まっているようです。いろいろと,すごいですワ。ついてけてませんが(泣)。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください