View on GitHub

DNS flag day

Co se připravuje?

Současný systém DNS je z historických důvodů pomalý a neumožňuje nasadit novou funkcionalitu. Skupina výrobců DNS software BIND (ISC), Knot Resolver (CZ.NIC), PowerDNS a Unbound (NLnet Labs) proto po 1. únoru 2019 ukončí podporu některých historických implementací DNS porušujících standardy.

Tato změna ovlivní jen domény, které používají nekvalitní DNS software. Ovlivní i vás?

Vlastníci domén

Prosím zkontrolujte své domény pomocí následujícího formuláře:

Test domény


Správci DNS

Pro seznámení s problematikou podpory EDNS vám doporučujeme použít formulář uvedený výše, který poskytuje zjednodušený výsledek pro celou doménu.

Dále je možné otestovat vaše DNS servery pomocí nástroje ednscomp, který zobrazuje podrobnou technickou zprávu. Do pole zone name zadejte jméno jakékoliv zóny hostované na vašich DNS serverech a klikněte na tlačítko Submit.

Celkový výsledek zobrazený nástrojem ednscomp by měl být zelená zpráva All Ok.

Pro minimální konfiguraci, která ještě bude v roce 2019 fungovat, nevypisuje nástroj ednscomp výsledek timeout v žádném z testů pro původní DNS ani v testech pro rozšíření EDNS verze 0. Vezměte prosím na vědomí, že takováto minimální konfigurace stále neodpovídá standardům a dříve nebo později bude způsobovat potíže. Z tohoto důvodu doporučujeme najednou opravit vaše DNS tak, aby všechny testy skončily výsledkem ok. Vyhnete se tak problémům v budoucnu.

Pokud bude zjištěn problém, nástroj ednscomp vám zobrazí vysvětlení pro každý test. Problémy jsou typicky způsobeny:

Doporučujeme aktualizovat váš DNS software na poslední stabilní verzi a zopakovat test. Pokud testy selhávají i po aktualizaci DNS software, doporučujeme vám zkontrolovat konfiguraci firewallu.

Firewally nesmí zahazovat DNS pakety které obsahují rozšíření EDNS (ani dosud neznámá rozšíření splňující standard EDNS). Moderní DNS software používá rozšíření jako např. DNS cookies pro ochranu proti DoS útokům. Firewally které zahazují DNS pakety s rozšířeními ve skutečnosti zhoršují situaci pro všechny uživatele, včetně zhoršování DoS útoků a zpomalování DNS provozu.

Vývojáři DNS software

Hlavní změna spočívá v tom, že DNS software od výše uvedených výrobců bude nově interpretovat timeout (vypršení časového limitu požadavku) jako příznak problému na síti nebo vzdáleném serveru. Počínaje 1. únorem 2019 DNS timeout nezpůsobí vypnutí EDNS.

Důsledkem je, že DNS servery které vůbec neodpovídají na EDNS dotazy se stanou zcela nedostupnými.

Prosím otestujte svou implementaci DNS pomocí nástroje ednscomp a ujistěte se, že správně zpracováváte rozšíření EDNS. Zdrojový kód testovacího nástroje je také k dispozici.

Upozorňujeme, že rozšíření EDNS stále není povinné. Pokud se rozhodnete nepodporovat EDNS, vše bude fungovat pokud se váš software bude řídit podle EDNS standard section 7.

Výzkumníci

Další zdroje pro výzkumníky:

Před interpretací dat si prosím přečtěte metodologii uvedenou u konkrétního zdroje. S dotazy se neváhejte obrátit na autory pomocí odkazů do Gitlabu uvedených výše.

Prezentace

Nástroje

Kontakty

Akci podporují

CZ.NIC

PowerDNS

ISC

NLnet Labs

Quad9

CleanBrowsing

Cloudflare

Literatura