FrancYescO
Con funzionano e non funzionano intendo.
Il problema sembra presentarsi principalmente con CDN e server RESTFULL a cui si appoggiano i siti.
Tali indirizzi sovente e giustamente, vengono tradotti in modo diverso dai DNS in quanto tendono a risolvere i più vicini.
Risolti da openDNS ne funzionano alcuni ed altri no, risolti da clouflare stessa cosa ma con indirizzi diversi e ovviamente servizi diversi che non funzionano a macchia di leopardo.
Gli IP risolti non sono nemmeno pingabili.
Il trace esce dalla mia rete e attraversa anche alcuni passi all'esterno, poi si blocca.
giojo
Per il discorso certificati è assolutamente falso.
Ipotizza che un servizio sia ospitato su tanti CDN ognuno con indirizzo diverso.
Sta al DNS selezionare quello più vicino e che spreca meno risorse.
Se il DNS è tradizionale su porta 53 si può reindirizzare e nessuno se ne accorge, lo faccio sulla mia LAN e nessuno sa che reindirizzo tutto il traffico diretto a tutti i DNS sul mio. Nemmeno i dispositivi di GOOGLE e ANDROID che punterebbero tutti a 8.8.8.8 e 8.8.4.4 sbattendosene delle impostazioni dei router.
Con reindirizzare intendo sostituirsi al DNS che l´utente o il dispositivo pensano di usare!
Questo è un esempio di cosa faccio sulla mia rete.
`table inet nat {
chain postrouting {
type nat hook postrouting priority srcnat; policy accept;
oifname "ppp0" ip saddr 0.0.0.0/0 masquerade
}
chain prerouting {
type nat hook prerouting priority dstnat; policy accept;
iifname "brhome" ip saddr 0.0.0.0/0 udp dport 53 dnat ip to 10.128.1.253:53
iifname "brhome" ip6 saddr ::/0 udp dport 53 dnat ip6 to [::1]:53
}
`
Con questo trucco usai anche bard (ora gemini) in anteprima con una mia VPN inglese e continuai ad usare chatGPT quando in Italia lo bloccarono. Forzavo le traduzioni DNS su endpoint non Italiani e con la VPN mascheravo la mia origine.
Tornando ai certificati, basta che la URL corrisponda e che sul punto di destinazione ci sia lo stesso certificato.
io posso avere a.b.com che punta a 50 IP diversi tutti con lo stesso certificato e private key, al certificato dell'IP non ne frega nulla, verifica solo URL cert e key.
Alcuni provider preferiscono che si usi i loro DNS per instradare su CDN o IP che a loro pesano meno come percorsi, usando openDNS e simili invece si ha una traduzione più generica e si potrebbe puntare allo stesso servizio ma molto più lontano consumando più risorse sulla rete pubblica, per questo sovente fanno la stessa cosa che faccio io sulla mia LAN. Non facendoti usare realmente altri DNS, ma dandoti solo l'illusione di usarli.
Basta fare un po di test con dig per rendersene conto.
P.S. se navigo reinstradando sulla mia VPN in inghilterra va tutto, quindi direi che la connessione funziona, ma non mi sembra logico.
Esempio di cosa succede:
Quando fast.com prova ad interrogare gli endpoint vanno in timeout, fino a che non ne becca uno che va.
Questo succede su tantissimi siti a me.