View on GitHub

DNS flag day

DNS flag day 2019

¿Qué está pasando?

El DNS actual es innecesariamente lento e ineficiente, producto de los esfuerzos necesarios para adecuarse a unos pocos sistemas DNS que no son compatibles con los estándares del protocolo, que ya tienen dos décadas de existencia.

Para asegurar la sostenibilidad futura del sistema, ya es tiempo de terminar con estas adecuaciones y corregir los sistemas incompatibles. Este cambio hará que la operación del DNS sea más eficiente, y también permitirá a los operadores desplegar nuevas funcionalidades, incluyendo nuevos mecanismos de protección contra ataques DDoS.

Los proveedores de software y sistemas públicos DNS listados en este sitio se han coordinado para eliminar estas adecuaciones de las implementaciones DNS no compatibles de sus softwares y servicios a partir del día 1 de Febrero de 2019. Este cambio afectará solo a los sitios que operan con software no compatible.

Para más información por favor seleccione al grupo que usted pertenece:

Soy un usuario de Internet

No hay ninguna razón para preocuparse si es un usuario de Internet y no posee sus nombre(s) de dominio propios. Este cambio sólo le afectará indirectamente, y no es necesario que tome ningún otra acción. ¡Muchas gracias por su interés en el DNS!

Tengo nombre(s) de dominio

Si usted es titular de algún(os) nombre(s) de dominio, por favor utilice el formulario acá abajo para revisar si su dominio está listo para los cambios. El resultado le indicará si es necesario que tome alguna acción correctiva.

Revise su dominio


Tenga presente que si tiene múltiples zonas en el mismo servidor o cluster de servidores, es suficiente con probar una sola zona. Vea los detalles técnicos de las pruebas para más información.

Soy un administrador de DNS

El impacto de estos cambios para el lado de los clientes del DNS se describe en la sección para Operadores de resolutores (resolvers) DNS. Un pequeño porcentaje de servidores autoritativos deberán hacer los cambios descritos abajo. Más abajo describimos los detalles técnicos de las pruebas y las herramientos para expertos.

Operadores de resolutores (resolvers) DNS

En los días cercanos al 1 de febrero de 2019, los más importantes proveedores de software resolutor (“resolver”) de código abierto, lanzarán nuevas actualizaciones que dejarán de adecuarse a las respuestas fuera del estándar. Este cambio afectará a los servidores autoritativos que no respetan ni el estándar original del DNS de 1987 (RFC1035) ni los nuevos estándares EDNS de 1999 (RFC2671 y RFC6891). Además, los más importantes operadores de resolutores DNS públicos indicados abajo también eliminarán las adecuaciones, con lo que estos cambios afectarán a los usuarios y proveedores que utilizan estos servicios DNS públicos.

Los sitios hospedados en servidores autoritativos incompatibles podrían ser inalcanzables a través de los resolutores actualizados. El formulario web de arriba puede ser una herramienta útil para investigar los problemas con algún dominio en particular. Los dominios que fallan repetidamente estas pruebas tienen algún problema con el software DNS que utilizan, o bien con su configuración de cortafuegos (firewall); pero no pueden ser corregidos por los operadores de DNS resolutores.

Las siguientes versiones de DNS resolutores (resolvers) no se adecuarán a las respuestas EDNS fuera del estándar:

Operadores de servidores DNS

Después del primero de febrero de 2019 los más importantes operadores de resolutores de DNS públicos indicados abajo eliminarán las adecuaciones para las faltas al estándar. Este cambio afectará a los dominios hospedados en servidores autoritativos que no respetan ni el estándar original del DNS de 1987 (RFC1035) ni los nuevos estándares EDNS de 1999 (RFC2671 y RFC6891). Los dominios incompatibles pueden volverse inalcanzables a través de estos servicios.

Recomendamos que tome los siguientes pasos preparatorios para evitar problemas operacionales:

  1. Pruebe sus servidores autoritativos usando el formulario de pruebas de arriba. Es suficiente con probar una sola zona DNS hospedada en un conjunto particular de servidores autoritativos. (Si cualquier zona particular pasa las pruebas, con eso es suficiente, porque las pruebas no dependen del contenido de la zona).
  2. Los resultados pueden verse afectados por inestablidades aleatorias en la red. Algunas de las pruebas analizan los tiempos de respuesta agotados (timeouts), los que pueden deberse a un software DNS inadecuado, algún cortafuegos bloqueando la respuesta, o por pérdidas de paquetes en Internet. Si se reporta algún problema, por favor reintente la prueba.
  3. Si el dominio probado falla las pruebas, por favor actualice su software DNS a la última versión y repita las pruebas. Si las pruebas siguen fallando incluso después de la actualización del software DNS, por favor revise la configuración de su cortafuegos.
  4. Los cortafuegos (firewalls) no deben descartar paquetes DNS con extensiones EDNS, incluyendo las extensiones desconocidas pero que siguen los estándares.

Puede encontrar información relevante para algunos proveedores aquí:

Si el problema persiste después de actualizar su software DNS y cortafuegos por favor contacte a su proveedores de cortafuegos y solicite los parches.

Detalle de las pruebas

Su nombre de dominio puede o no incluir www al comienzo, por ejemplo www.dominio.com o solo dominio.com. Si no está seguro, sugerimos que pruebe con ambos. Los nombres que no son zonas DNS serán reportados, indicando que esta es la causa más probable de las fallas. No es algo para preocuparse.

Escaneo masivo

El formulario de prueba de arriba usa la herramienta ednscomp hospedada en nuestros servidores, que es un servicio de baja capacidad, disponible solo para chequeos individuales. Si necesita hacer consultas masivas, debe usar las herramientas indicadas más abajo hospedadas en sus propias instalaciones. Por favor no intente automatizar consultas usando este sitio web, su uso excesivo será limitado o bloqueado.

Obteniendo el detalle de los resultados de las pruebas

El formulario de prueba de arriba usa la herramienta ednscomp para las pruebas técnicas individuales, y estos resultados parciales son agrupados y resumidos por la aplicación web.

También puede probar sus servidores DNS usando directamente la herramienta ednscomp que entrega un reporte técnico mucho más detallado. Simplemente ingrese el nombre de alguna de las zonas hospedadas en sus servidores DNS en el campo zone name y cliquee el botón Submit.

El resultado resumen (summary) de ednscomp deberá idealmente ser el mensaje en verde All Ok.

Configuración de funcionamiento mínimo

Una infraestructura mínima que permita sobrevivir el “DNS flag day” de 2019 no debe tener ningún resultado timeout (tiempo de espera agotado) en ninguna de las pruebas de DNS “plain” ni “EDNS version 0”, de la herramienta ednscomp. Las fallas en las pruebas EDNS(1) no causarán problemas inmediatos.

Por favor tenga en cuenta que una infraestructura que sólo cumpla este mínimo no será compatible con los estándares y tendrá otros problemas tarde o temprano. Por esta razón recomendamos encarecidamente obtener la compatibilidad completa con EDNS (todas las pruebas en ok) en vez de solo preocuparse por lo mínimo.

Si hay algún problema, la herramienta ednscomp entregará una explicación para cada prueba fallida. Las errores típicos son causados por:

Los cortafuegos no deben descartar paquetes DNS con extensiones EDNS, incluyendo extensiones que aún son desconocidas en el momento. El software moderno de DNS puede desarrollar nuevas extensiones (por ejemplo DNS cookies para protegerse de ataques DoS). Los cortafuegos que descartan paquetes DNS con estas extensiones están empeorando la situación para todos, incluyendo ataques DoS de mayor magnitud, e induciendo mayor latencia en el tráfico DNS.

Soy un experto en DNS

Desarrolladores de software DNS

El principal cambio es que los vendedores de software DNS arriba mencionados comenzarán a interpretar los “tiempos de espera agotados” (“timeouts”) como una señal de problema en la red o en el servidor. A partir del 1 de Febrero de 2019, no habrá ningún intento de desactivar EDNS como reacción a un tiempo de espera agotado.

En la práctica esto significa que todos los servidores DNS que no respondan a todas las consultas EDNS serán tratados como muertos.

Por favor pruebe sus implementaciones usando la herramienta ednscomp para asegurarse de manejar EDNS adecuadamente. El código fuente de la herramienta también se encuentra disponible.

Es importante notar que EDNS no es obligatorio de implementar todavía. Si decide no soportar EDNS, es correcto no hacerlo, siempre que su software responda de acuerdo al estándar EDNS, sección 7.

En otras palabras, el software que implementa correctamente el estándar DNS original RFC1035 de 1987 no necesita ningún cambio. Solo el software no compatible debe ser corregido.

Investigadores

Existen algunas herramientas que pueden interesar a Investigadores y otros interesados, como Operadores de TLD:

Presentaciones

Audiencia en general

Técnicos

Herramientas

Investigadores y otros interesados como grandes operadores de DNS pueden estar interesados en:

Por favor revise las metodologías respectivas antes de interpretar los datos. En cualquier caso, no dude en ponerse en contacto con los autores de las herramientas usando los enlaces indicados arriba.

Contactos

Apoyan

Lecturas adicionales