Spenden

Dieser Artikel ist mehr als 11 Jahre alt.

DNS-Fehler: Unser Blog ist derzeit aus einigen Netzen nicht erreichbar

bofhWir haben gestern an unserem System geschraubt, u. a. um gesicherte (verschlüsselte) Verbindungen zu verbessern. Dabei kam es trotz Vier-Augen-Prinzip zu einem Tippfehler. Und in Folge dessen ist jetzt unsere Domain in einigen Netzen vorübergehend nicht erreichbar, und es gibt obskurre Weiterleitungen, weil das jemand ausnutzt. Der Fehler ist längst gefixt, aber DNS-Änderungen dauern bis zu 24 Stunden. Wir bitten um Entschuldigung für den Ausfall. Und danke für alle Hinweise.

Vielleicht schreiben wir morgen nochmal detaillierter darüber, was genau passiert ist, vor allem warum es dann auf einmal diverse Weiterleitungen auf andere Seiten gab, die nichts mit uns zu tun haben.

  • Markus Beckedahl
Markus Beckedahl
29

bofhWir haben gestern an unserem System geschraubt, u. a. um gesicherte (verschlüsselte) Verbindungen zu verbessern. Dabei kam es trotz Vier-Augen-Prinzip zu einem Tippfehler. Und in Folge dessen ist jetzt unsere Domain in einigen Netzen vorübergehend nicht erreichbar, und es gibt obskurre Weiterleitungen, weil das jemand ausnutzt. Der Fehler ist längst gefixt, aber DNS-Änderungen dauern bis zu 24 Stunden. Wir bitten um Entschuldigung für den Ausfall. Und danke für alle Hinweise.

Vielleicht schreiben wir morgen nochmal detaillierter darüber, was genau passiert ist, vor allem warum es dann auf einmal diverse Weiterleitungen auf andere Seiten gab, die nichts mit uns zu tun haben.

Über die Autor:innen

  • Markus Beckedahl
    Darja Preuss
    Markus Beckedahl

    Markus Beckedahl hat schon 2003 in der Ur-Form von netzpolitik.org gebloggt und hat zwischen 2004 bis 2022 die Plattform als Chefredakteur entwickelt. Seit 2024 ist er nicht mehr Teil der Redaktion und schreibt einen Newsletter auf digitalpolitik.de. Kontakt: Mail: markus (ett) netzpolitik.org, Presseanfragen: +49-177-7503541 Er ist auch auf Mastodon, Facebook, Twitter und Instagram zu finden.

Veröffentlicht

Kategorie

Schlagwörter

Weiterlesen

Thema

Netzpolitik

Thema

Netzpolitik

Jahresrückblick

Die besten Reste des Jahres

Kalte Pizza und Pommes in einem Karton

Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.

29 Kommentare zu „DNS-Fehler: Unser Blog ist derzeit aus einigen Netzen nicht erreichbar“

  1. Max

    ,

    Mit VDS wär das nicht passiert!!1

  2. Noobs@Work

    ,

    Einmal mit Profis arbeiten! Mit Linux wär das nicht passiert. Man findet heutzutage aber auch kein gutes Personal mehr. Hätte man doch mal jemanden gefragt, der sich mit sowas auskennt. Wo ist Herr Meister, wenn man ihn mal braucht.

  3. Boston Bomber

    ,

    Wir brauchen mehr Inder, sonst ist dieser Fachkräftemangel bald nicht mehr zu wuppen.

  4. Zertifikat

    ,

    Bestätigt mal bitte über Twitter und auch hier im Blog mit PGP-Signatur den Fingerprint eures aktuellen Zertifikats. Diese „technischen und organisatorischen Defizite“ haben mich gestern und heute bei Aufruf eurer Seite sehr beunruhigt.

    1.) https://i.imgur.com/jutA0M8.png
    2.) https://i.imgur.com/yH1Lxdu.png

    Zu 1.)
    Wieso kann StartSSL zwei Zertifikate für netzpolitik.org ausstellen?

    1. Markus Beckedahl

      ,

      Machen wir morgen mal, wenn wir wieder im Büro sind.

    2. Andre

      ,

      Ist gefixt: https://netzpolitik.org/impressum/

      1. Zertifikat

        ,

        Besten Dank!

    3. catdog2

      ,

      > Wieso kann StartSSL zwei Zertifikate für netzpolitik.org ausstellen?
      StartSSL kann so viele Zertifikate ausstellen wie sie wollen.

      1. Zertifikat

        ,

        > StartSSL kann so viele Zertifikate ausstellen wie sie wollen.
        Dass die das technisch können, ist mir eigentlich schon klar. Aber wieso dürfen die das als „allgemein anerkannte“ CA? Das alte Zertifikat war ja nicht widerrufen worden. Somit gab’s seit Oktober 2014 zwei StartSSL Zertifikate für netzpolitik.org.

        Oder sehe ich da was falsch?

    4. Marco

      ,

      zu zu 1.)
      Zwei Zertifikate, da es sich im Prinzip um zwei unterschiedliche Domains handelt, die nur das netzpolitik.org gemeinsam haben.

  5. imo

    ,

    Und ich wunderte mich gerade wieso ich den Feed aus dem Freifunk Netz nicht abrufen konnte, das erklärt es.

  6. Gerne

    ,

    „Vielleicht schreiben wir morgen nochmal detaillierter darüber, was genau passiert ist, vor allem warum es dann auf einmal diverse Weiterleitungen auf andere Seiten gab, die nichts mit uns zu tun haben.“
    Ja, bitte.

  7. Ein_Steuerzahler

    ,

    TzTz,

    und ich dachte schon irgend ein Unterstaatsanwalt oder Unrechteinhaber wollte den Rechtmäßigen netzpolitik-terrorbefreiten Zustand herstellen…

    mfg

    Ralf

  8. Marc (tm)

    ,

    Kann ich bestätigen.
    Wenn man allerdings einen Web-Proxy genutzt hat, gings trotzdem.

  9. Mark Washeim

    ,

    Der BOFH meldet sich. Wir hatten Mittwoch versucht 2 Fliegen mit einer Klatsche zu töten womit ich gleich zwei Fehler gemacht habe. And before you say it, I’m not incompetent, but sometimes sloppy and often misguided :)

    1. Wir wollten das neue SHA256 Intermediate Cert von Startssl installieren und gleichzeitig
    2. Das *.netzpolitik.org Cert das mit meinem Namen (As person my identity has been verified by Startcom) und nicht mit der Firma (The company, newthinking, is Organization verified at Startcom) auf ein cert das Org Verified ist umstellen.

    Obwohl 1 einfach über die Bühne ging musste 2 natürlich eine bunte Angelegenheit werden. Erstens wurden die notwendigen Domain Eigentümer Einstellung (durch ein Dienstleister übliches Formular) von 2 Personen (I and one other who shall remain unamed) durchgeführt und trotzdem gab es einen Typfehler in der dns Server liste, an der 2ten stelle. Das wurde aber erst später entdeckt. Dann wurde das alte *.netzpolitik.org cert revoked, das neue mit Organization Validation erstellt und ich, so leichtgläubig wie ich manchmal noch bin (I simply wouldn’t believe that revoked certs would be both flagged as good and revoked at the same time by startcom’s ocsp server) die certs getauscht.

    Unglücklicherweise wurden auch meine tests (it ALWAYS works for the me the first time :) zum Verhängnis. Ich habe den OCSP server gefragt was Sache ist ( openssl ocsp ‑no_nonce ‑header HOST ocsp.startssl.com .… etc) eine Bestätigung (‚revoked’ message old Cert + ‚good’ message new Cert) bekommen und nicht lang genug gewartet (rechnete auch beim revoked nicht mit 2 verschiedene antworten).

    Der Fehler flog sofort auf (it ONLY ALWAYS works for me ;) und ich hatte ein noch älteres aber noch gültiges Cert auf dem Server was ich einfach eingetauscht habe um das syncing von Startcom OCSP Servern (akamai cloud crap) abzuwarten. Hatte auch das Vorteil das es nicht revoked war.

    Nun der Hintergrund warum es so viele Certs gab. Zu einem war das alte ein einfaches SAN der nur netzpolitik.org und http://www.netzpolitik.org abdeckte. Als wir letztes Jahr endlich die newthinking verifizieren ließen durften wir auch Wildcards (ohne weiter Kosten) bestellen was auch Sinn machte. Also hatten wir 2 gültige Certs und jetzt seit dem revoke ist es wieder so. Aber nur das neue Org. Validated ist im Einsatz. Das wildcard vom letzten Jahr wurde ohne OU (organization unit) und O (organization) bestellt weil die Inhaber records NUR auf Markus aber nicht auf newthinking deuteten und ich selber die Kontrolle nicht hatte (oder nicht wusste wie ich die Kontrolle bekomme). SNAFU!

    mea culpa, mea culpa,
    mea máxima culpa

    1. Timo

      ,

      Sehts mal positiv. Es hätte deutlich schlimmer kommen können. z.B. wenn ihr ein Zertifikat gepinnt hättet und dieses dann irgendwas aus versehen revoked.

      1. Mark Washeim

        ,

        Genau :) Leider zweifel ich an meiner Unfehlbarkeit genug um pinning zu vermeiden. Vielleicht machen wir das sobald letsencrypt uns eine Systematik anbietet die die menschliche Fehlerquote radikal reduziert.

  10. Arestris

    ,

    Sollte das nicht langsam durch sein?
    Heute (nach)mittag im Büro jedenfalls hatte ich „noch“ seltsames Verhalten. Über https:// ging garnichts, der http:// Aufruf leitete auf Werbung um …

  11. Harald

    ,

    Hi,

    Ich habe erst mal einen Wahnsinns-Schreck bekommen, als bei mir zu Hause alles ging, aber bei meinem Arbeitgeber nicht. (Hui, Filter, Zensur!) Wegen geblocktem JavaScript war die Fehlermeldung auch nicht so tragisch, aber irgendwann machte ich Scripting an. Ich bekam da Werbung – und einen Schreck. (50.57.203.17 um genau zu sein.)

    O.k., jetzt sage ich immer bei DNS-Änderungen 48 Std. Ich hoffe also, dass das bei Euch dann auch der Fall sein wird. Und entschuldigt für die Anrufe beim Provider, bei Markus auf Mobil, denn Mails machen mich gerade noch mehr nervös. (mail [lasse Punkte mal weg] netzpolitik org = 5.9.51.25 geht auf Hetzner, ok???)

    LG Harald

    1. Markus Beckedahl

      ,

      Kein Problem, wir freuen uns ja über Hinweise, wenn was nicht stimmt.

  12. Markus Wolf

    ,

    Bei mir (Provider: o2) geht es immer noch nicht, wenn ich kein Tor benutze…

    1. Markus

      ,

      Aufgrund der doch sehr großen TTL wird es wohl noch 310967 Sekunden (ca. 3,6 Tage) dauern, bis alle DNS-Caches leer sind.

      Abhilfe schafft es, kurzfristig den DNS-Server zu wechseln oder die richtige IP in der hosts-Datei einzutragen (dann darf man natürlich nicht vergessen, das Ganze in 4 Tagen rückgängig zu machen).

      user@host:~$ dig netzpolitik.org ANY

      ; <> DiG version <> netzpolitik.org ANY
      ;; global options: +cmd
      ;; Got answer:
      ;; -»HEADER«- opcode: QUERY, status: NOERROR, id: 28279
      ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

      ;; OPT PSEUDOSECTION:
      ; EDNS: version: 0, flags:; udp: 512
      ;; QUESTION SECTION:
      ;netzpolitik.org. IN ANY

      ;; ANSWER SECTION:
      netzpolitik.org. 310967 IN A 50.57.203.17

      ;; Query time: 2 msec
      ;; SERVER: 127.0.1.1#53(127.0.1.1)
      ;; WHEN: Sun May 17 15:26:36 CEST 2015
      ;; MSG SIZE rcvd: 60

  13. Silencer

    ,

    Bei mir geht es auf Arbeit auch noch nicht (SVN ‑sächsisches Verwaltungsnetz).
    Auch ownCloud News aktualisiert nicht, gehostet bei sysprovide.

  14. 42loop

    ,

    sonntag, 17.05.: aus dem telefonica- netz ist es auch weiterhin nicht zu erreichen

  15. Nordlicht

    ,

    Hallo zusammen,
    heute Montag, 18.05. 21:10h ist die Seite aus dem Netz von Willy-Tel (Hamburger Anbieter) noch immer nicht zu erreichen. Über das hamburger Freifunk-Netz klappts es aber.

    Viele Grüße

  16. Peter

    ,

    mir scheint, dass es noch Probleme mit dem DNS allenthalben gibt. Die Änderung hat sich wohl noch nicht überall rumgesprochen… (sollte aber eigentlich nach 4 Tagen nicht mehr der Fall sein)
    z.B. QSC: dig +short @87.193.218.45 http://www.netzpolitik.org
    50.57.203.17

  17. Peter

    ,

    ok, sehe grade den Kommentar von Markus bzgl. TTL
    und muss natürlich heißen dig +short @87.193.218.45 http://www.netzpolitik.org

  18. David K

    ,

    Hallo und Gruß aus Schweden,

    das Problem scheint im Netz von bredbandsbolaget/telenor immernoch zu bestehen. Die zurückgelieferte IP unterstützt kein https und hat auf http ein eher unangenehm riechendes „Umfrageformular“ mit viiieel scripting.

    Gibt es eine Einschätzung wann das behoben ist?

    1. Markus Beckedahl

      ,

      In der Regel innerhalb von sieben Tagen. Vergangenen Mittwoch passierte uns der Fehler, den wir Donnerstag Mittag bemerkt und korrigiert haben.

Dieser Artikel ist älter als 11 Jahre, daher sind die Ergänzungen geschlossen.