View on GitHub

DNS flag day

DNS flag day 2019

Esta tradução está aguardando atualização, por favor veja a versão em inglês para as últimas informações.

O que está acontecendo?

Os sistemas de DNS atuais sofrem demoras desnecessárias e dificuldades para lançar novas funcionalidades. Para remediar esses problemas, desenvolvedores e grandes provedores públicos de DNS irão remover certas modificações (workarounds) no dia 1 de Fevereiro de 2019.

Essa mudança impacta apenas sites que operam software que não esteja seguindo os padrões publicados. Você será impactado?

Donos de Domínios

Por favor verifique se seu domínio será impactado:

Teste seu domínio


Administradores de DNS

Para começar a entender como está sua conformidade com o EDNS, recomendamos que você utilize o formulário acima que irá produzir um relatório simplificado para o domínio inteiro.

É também possível testar seus servidores de DNS diretamente utilizando a ferramenta ednscomp que mostra um relatório técnico detalhado. Coloque o nome da zona hospedada nos seus servidores de DNS no campo zone name e clique no botão Submit.

O resultado dos testes de ednscomp deve ser uma mensagem em verde dizendo All Ok.

Para ter o mínimo necessário para que seu domínio continue funcionando após o 2019 DNS flag day, nenhum teste de DNS e EDNS versão 0 deve ter o resultado timeout na ferramenta ednscomp. É importante ressaltar que ter apenas o mínimo necessário poderá causar outros problemas cedo ou tarde. Por essa razão nós recomendados que garanta que todos os testes EDNS estejam ok em vez de fazer apenas as correções mínimas, se não você poderá ter novos problemas em um futuro próximo.

Se forem encontrados problemas, a ferramenta ednscomp irá mostrar uma explicação para cada teste que falhou. Falhas nesses testes são tipicamente causadas por:

Para corrigir esses problemas, por favor atualize seu software de DNS para a última versão estável disponível e execute os testes novamente. Se os testes ainda assim falharem, por favor verifique a configuração do seu firewall.

Firewalls não devem bloquear pacotes de DNS com extensões EDNS, incluindo extensões desconhecidas. Softwares de DNS modernos podem implementar novas extensões (ex. DNS cookies para proteger contra ataques DoS). Firewalls que bloqueiam pacotes de DNS com essas extensões apenas pioram a situação para todo mundo, fazendo com que ataques de DoS sejam piores e a latência do tráfego de DNS seja mais alta.

Desenvolvedores de software de DNS

A maior mudança será que sistemas de DNS dos desenvolvedores acima irão interpretar timeouts como um sinal de problemas na rede ou no servidor. Começando no dia 1 de Fevereiro de 2019, não haverá nenhuma tentativa de desabilitar EDNS caso uma solicitação de DNS gere um timeout.

Isso significa que todos os servidores de DNS que não responderem às solicitações EDNS serão tratados como inativos.

Por favor teste sua implementação usando a ferramenta ednscomp para garantir que você está tratando requisições EDNS adequadamente. O código fonte dessa ferramenta está disponível aqui.

É importante pontuar que o suporte a EDNS ainda não é obrigatório. Se você decidir não suportar EDNS, não haverá nenhum problema desde que seu software responda à solicitações de acordo com a seção 7 do padrão EDNS.

Pesquisadores

Pesquisadores e outros envolvidos, tais como operadores de TLD, podem se interessar pelos documentos abaixo:

Por favor leia as respectivas metodologias antes de interpretar os dados. Em qualquer caso, não hesite em entrar em contato com os autores das ferramentas usando os links acima.

Apresentações

Ferramentas

Contatos

Apoiadores

Leitura Adicional