dxdt.blog: занимательный интернет-журнал

В DNS-зоне dxdt.ru уже несколько лет присутствует HTTPS-запись. Эта запись позволяет размещать много полей, например, конфигурацию ECH (Encrypted Client Hello). Можно указать и так называемые “хинт-адреса” – IPv4, IPv6, – что я на днях и проделал, ограничившись, впрочем, IPv4-адресом. Указан тот же адрес, что и в A-записи. Ниже приведён скриншот страницы сервиса audit.statdom.ru с параметрами HTTPS для dxdt.ru.

Вообще, браузеры сейчас не используют “хинт-адреса” из HTTPS-записей. Возможно, это правильно, потому что спецификация несколько “перекручена”: строго говоря, HTTPS-запись – это разновидность SVCB-записи, а последняя допускает не только разные поля и префиксы, но и поддерживает два различных “режима” рекурсивного опроса; если этого мало, то один из этих режимов (AliasMode) усложняет и так самую путаную часть DNS – обработку CNAME. Так что далеко не факт, что браузеры начнут поддерживать SVCB полностью, однако для конфигураций ECH поддержка уже есть.

Логика, которая скрывается за добавлением “хинт-адресов”, такая: можно из DNS запросить сразу HTTPS-запись для искомого имени хоста; если ответ получен, то в этом ответе уже будет и перечень IP-адресов, к которым можно подключаться (в дополнение к адресам может быть указан перечень протоколов, криптографическая конфигурация для скрытого доступа и т.д.). В теории, “хинт-адреса” в HTTPS-записи экономят запрос на извлечение A-записей (и AAAA-записей), однако спецификация отдаёт приоритет последним – то есть, A- и AAAA-записям, – мотивируя это заботой о работе балансировщиков нагрузки.

Посмотреть HTTPS-записи можно при помощи “dig -t HTTPS”.

Адрес записки: https://dxdt.blog/2025/02/22/15072/