DNS-Fehler: Unser Blog ist derzeit aus einigen Netzen nicht erreichbar

bofhWir haben gestern an unserem System geschraubt, u. a. um gesicherte (verschlüsselte) Verbindungen zu verbessern. Dabei kam es trotz Vier-Augen-Prinzip zu einem Tippfehler. Und in Folge dessen ist jetzt unsere Domain in einigen Netzen vorübergehend nicht erreichbar, und es gibt obskurre Weiterleitungen, weil das jemand ausnutzt. Der Fehler ist längst gefixt, aber DNS-Änderungen dauern bis zu 24 Stunden. Wir bitten um Entschuldigung für den Ausfall. Und danke für alle Hinweise.


netzpolitik.org - unabhängig & kritisch dank Euch.

Vielleicht schreiben wir morgen nochmal detaillierter darüber, was genau passiert ist, vor allem warum es dann auf einmal diverse Weiterleitungen auf andere Seiten gab, die nichts mit uns zu tun haben.

29 Kommentare
  1. Einmal mit Profis arbeiten! Mit Linux wär das nicht passiert. Man findet heutzutage aber auch kein gutes Personal mehr. Hätte man doch mal jemanden gefragt, der sich mit sowas auskennt. Wo ist Herr Meister, wenn man ihn mal braucht.

    1. > Wieso kann StartSSL zwei Zertifikate für netzpolitik.org ausstellen?
      StartSSL kann so viele Zertifikate ausstellen wie sie wollen.

      1. > StartSSL kann so viele Zertifikate ausstellen wie sie wollen.
        Dass die das technisch können, ist mir eigentlich schon klar. Aber wieso dürfen die das als „allgemein anerkannte“ CA? Das alte Zertifikat war ja nicht widerrufen worden. Somit gab’s seit Oktober 2014 zwei StartSSL Zertifikate für netzpolitik.org.

        Oder sehe ich da was falsch?

    2. zu zu 1.)
      Zwei Zertifikate, da es sich im Prinzip um zwei unterschiedliche Domains handelt, die nur das netzpolitik.org gemeinsam haben.

  2. „Vielleicht schreiben wir morgen nochmal detaillierter darüber, was genau passiert ist, vor allem warum es dann auf einmal diverse Weiterleitungen auf andere Seiten gab, die nichts mit uns zu tun haben.“
    Ja, bitte.

  3. TzTz,

    und ich dachte schon irgend ein Unterstaatsanwalt oder Unrechteinhaber wollte den Rechtmäßigen netzpolitik-terrorbefreiten Zustand herstellen…

    mfg

    Ralf

  4. Der BOFH meldet sich. Wir hatten Mittwoch versucht 2 Fliegen mit einer Klatsche zu töten womit ich gleich zwei Fehler gemacht habe. And before you say it, I’m not incompetent, but sometimes sloppy and often misguided :)

    1. Wir wollten das neue SHA256 Intermediate Cert von Startssl installieren und gleichzeitig
    2. Das *.netzpolitik.org Cert das mit meinem Namen (As person my identity has been verified by Startcom) und nicht mit der Firma (The company, newthinking, is Organization verified at Startcom) auf ein cert das Org Verified ist umstellen.

    Obwohl 1 einfach über die Bühne ging musste 2 natürlich eine bunte Angelegenheit werden. Erstens wurden die notwendigen Domain Eigentümer Einstellung (durch ein Dienstleister übliches Formular) von 2 Personen (I and one other who shall remain unamed) durchgeführt und trotzdem gab es einen Typfehler in der dns Server liste, an der 2ten stelle. Das wurde aber erst später entdeckt. Dann wurde das alte *.netzpolitik.org cert revoked, das neue mit Organization Validation erstellt und ich, so leichtgläubig wie ich manchmal noch bin (I simply wouldn’t believe that revoked certs would be both flagged as good and revoked at the same time by startcom’s ocsp server) die certs getauscht.

    Unglücklicherweise wurden auch meine tests (it ALWAYS works for the me the first time :) zum Verhängnis. Ich habe den OCSP server gefragt was Sache ist ( openssl ocsp -no_nonce -header HOST ocsp.startssl.com …. etc) eine Bestätigung (‚revoked‘ message old Cert + ‚good‘ message new Cert) bekommen und nicht lang genug gewartet (rechnete auch beim revoked nicht mit 2 verschiedene antworten).

    Der Fehler flog sofort auf (it ONLY ALWAYS works for me ;) und ich hatte ein noch älteres aber noch gültiges Cert auf dem Server was ich einfach eingetauscht habe um das syncing von Startcom OCSP Servern (akamai cloud crap) abzuwarten. Hatte auch das Vorteil das es nicht revoked war.

    Nun der Hintergrund warum es so viele Certs gab. Zu einem war das alte ein einfaches SAN der nur netzpolitik.org und http://www.netzpolitik.org abdeckte. Als wir letztes Jahr endlich die newthinking verifizieren ließen durften wir auch Wildcards (ohne weiter Kosten) bestellen was auch Sinn machte. Also hatten wir 2 gültige Certs und jetzt seit dem revoke ist es wieder so. Aber nur das neue Org. Validated ist im Einsatz. Das wildcard vom letzten Jahr wurde ohne OU (organization unit) und O (organization) bestellt weil die Inhaber records NUR auf Markus aber nicht auf newthinking deuteten und ich selber die Kontrolle nicht hatte (oder nicht wusste wie ich die Kontrolle bekomme). SNAFU!

    mea culpa, mea culpa,
    mea máxima culpa

    1. Sehts mal positiv. Es hätte deutlich schlimmer kommen können. z.B. wenn ihr ein Zertifikat gepinnt hättet und dieses dann irgendwas aus versehen revoked.

      1. Genau :) Leider zweifel ich an meiner Unfehlbarkeit genug um pinning zu vermeiden. Vielleicht machen wir das sobald letsencrypt uns eine Systematik anbietet die die menschliche Fehlerquote radikal reduziert.

  5. Sollte das nicht langsam durch sein?
    Heute (nach)mittag im Büro jedenfalls hatte ich „noch“ seltsames Verhalten. Über https:// ging garnichts, der http:// Aufruf leitete auf Werbung um …

  6. Hi,

    Ich habe erst mal einen Wahnsinns-Schreck bekommen, als bei mir zu Hause alles ging, aber bei meinem Arbeitgeber nicht. (Hui, Filter, Zensur!) Wegen geblocktem JavaScript war die Fehlermeldung auch nicht so tragisch, aber irgendwann machte ich Scripting an. Ich bekam da Werbung – und einen Schreck. (50.57.203.17 um genau zu sein.)

    O.k., jetzt sage ich immer bei DNS-Änderungen 48 Std. Ich hoffe also, dass das bei Euch dann auch der Fall sein wird. Und entschuldigt für die Anrufe beim Provider, bei Markus auf Mobil, denn Mails machen mich gerade noch mehr nervös. (mail [lasse Punkte mal weg] netzpolitik org = 5.9.51.25 geht auf Hetzner, ok???)

    LG Harald

    1. Aufgrund der doch sehr großen TTL wird es wohl noch 310967 Sekunden (ca. 3,6 Tage) dauern, bis alle DNS-Caches leer sind.

      Abhilfe schafft es, kurzfristig den DNS-Server zu wechseln oder die richtige IP in der hosts-Datei einzutragen (dann darf man natürlich nicht vergessen, das Ganze in 4 Tagen rückgängig zu machen).

      user@host:~$ dig netzpolitik.org ANY

      ; <> DiG version <> netzpolitik.org ANY
      ;; global options: +cmd
      ;; Got answer:
      ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28279
      ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

      ;; OPT PSEUDOSECTION:
      ; EDNS: version: 0, flags:; udp: 512
      ;; QUESTION SECTION:
      ;netzpolitik.org. IN ANY

      ;; ANSWER SECTION:
      netzpolitik.org. 310967 IN A 50.57.203.17

      ;; Query time: 2 msec
      ;; SERVER: 127.0.1.1#53(127.0.1.1)
      ;; WHEN: Sun May 17 15:26:36 CEST 2015
      ;; MSG SIZE rcvd: 60

  7. Bei mir geht es auf Arbeit auch noch nicht (SVN -sächsisches Verwaltungsnetz).
    Auch ownCloud News aktualisiert nicht, gehostet bei sysprovide.

  8. Hallo zusammen,
    heute Montag, 18.05. 21:10h ist die Seite aus dem Netz von Willy-Tel (Hamburger Anbieter) noch immer nicht zu erreichen. Über das hamburger Freifunk-Netz klappts es aber.

    Viele Grüße

  9. mir scheint, dass es noch Probleme mit dem DNS allenthalben gibt. Die Änderung hat sich wohl noch nicht überall rumgesprochen… (sollte aber eigentlich nach 4 Tagen nicht mehr der Fall sein)
    z.B. QSC: dig +short @87.193.218.45 http://www.netzpolitik.org
    50.57.203.17

  10. Hallo und Gruß aus Schweden,

    das Problem scheint im Netz von bredbandsbolaget/telenor immernoch zu bestehen. Die zurückgelieferte IP unterstützt kein https und hat auf http ein eher unangenehm riechendes „Umfrageformular“ mit viiieel scripting.

    Gibt es eine Einschätzung wann das behoben ist?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.