View on GitHub

DNS flag day

DNS flag day 2019

Этот перевод ожидает обновления, пожалуйста, смотрите английскую версию для последней информации.

Что происходит?

Текущий DNS излишне медленный и страдает от невозможности развертывания новых функций. Чтобы исправить эти проблемы, производители программного обеспечения DNS а также большие общедоступные DNS-провайдеры собираются убрать определенные обходные пути 1 февраля 2019 года.

Это изменение касается только сайтов, на которых установлено программное обеспечение, не соответствующее опубликованным стандартам. Вы затронуты?

Владельцам доменов

Пожалуйста, проверьте затронут ли ваш домен:

Проверьте ваш домен


Операторам DNS-резольвера

1 февраля 2019(или около), основные поставщики средств распознавания с открытым исходным кодом будут выпускать обновления, которые реализуют более строгую обработку EDNS. В частности, следующие версии вводят это изменение:

Также общественные DNS провайдеры перечисленные ниже отключат обходные пути.

Операторам DNS серверов

Для ознакомления с соответствием EDNS мы рекомендуем использовать форму выше, которая дает упрощенный результат для всего домена.

Также возможно протестировать ваши DNS-серверы напрямую, используя инструмент ednscomp который отображает подробный технический отчет. Просто введите название зоны, размещенной на ваших DNS-серверах, в поле zone name и нажмите кнопку Submit.

Итоговый результат тестов ednscomp желательно должнен быть зеленым сообщением All Ok.

Минимальная рабочая настройка, которая позволит вашему домену выжить в 2019 DNS flag day - отсутствие результата timeout в любом из простых тестов DNS и EDNS версии 0, реализованных в инстурменте ednscomp. Обратите внимание, что эта минимальная настройка все еще не соответствует стандартам и рано или поздно вызовет другие проблемы. По этой причине мы настоятельно рекомендуем вам получить полное соответствие EDNS (все тесты ok) вместо того, чтобы выполнять минимальную очистку, иначе вам придется столкнуться с новыми проблемами позже.

Если есть проблема, инструмент ednscomp отображает объяснение каждого неудачного теста. Сбои в этих тестах обычно вызваны:

Чтобы устранить проблемы, обновите программное обеспечение DNS до последних стабильных версий и повторите тестирование. Если тесты по-прежнему не проходят даже после обновления DNS, проверьте конфигурацию брандмауэра.

Межсетевые экраны не должны отбрасывать пакеты DNS с расширениями EDNS, включая неизвестные расширения. Современное программное обеспечение DNS может развертывать новые расширения (например DNS cookies для защиты от DoS атак). Брандмауэры, которые отбрасывают пакеты DNS с такими расширениями, ухудшают ситуацию для всех, в том числе обостряют атаки DoS и увеличивают задержку трафика DNS.

Подсказки продавца:

Разработчикам DNS ПО

Основное изменение заключается в том, что программное обеспечение DNS от вышеперечисленных поставщиков будет интерпретировать тайм-ауты как признак проблемы сети или сервера. С 1 февраля 2019 нет попытки отключить EDNS как реакцию на тайм-аут DNS-запроса.

Это фактически означает, что все DNS-серверы, которые вообще не отвечают на запросы EDNS будут рассматриваться как мертвые.

Пожалуйста, проверьте ваши реализации, используя инструмент ednscomp чтобы убедиться, что вы правильно обрабатываете EDNS. Исходный код инструмента также доступен.

Важно отметить, что EDNS все еще не является обязательным. Если вы решите не поддерживать EDNS, это нормально, если ваше программное обеспечение отвечает в соответствии с EDNS раздел стандарта 7.

Исследователям

Исследователи и другие стороны, такие как операторы TLD, могут быть заинтересованы в:

Пожалуйста, прочтите соответствующие методологии, прежде чем интерпретировать данные. В любом случае, не стесняйтесь обращаться к авторам инструментов, используя ссылки GitLab выше.

Презентации

Инструменты

Контакты

Сторонники

Дополнительное чтение