Hlavní navigace

Společně za zlepšení stability, rychlosti a další rozšiřitelnosti DNS ekosystému

Petr Špaček

V minulosti se výrobci DNS softwaru pokoušeli řešit problémy s interoperabilitou DNS protokolu a jeho rozšíření zvaného EDNS tak, že do svého software dočasně přidávali schopnost přijmout různé nestandardní chování.

Doba čtení: 2 minuty

Bohužel se ukázalo, že tento přístup, tedy přidáváním dočasných „náplastí na problémy“ není dlouhodobě udržitelný, a to především proto, že implementace, které plně nerespektují standardy, zdánlivě fungují a není tedy důvod pouštět se do jejich plnohodnotných oprav.

Výsledkem těchto polovičatých řešení je jejich hromadění a ukládání v DNS softwaru, což vede k situaci, kdy je jich už tolik, že samy o sobě začaly způsobovat problémy. Tím nejviditelnějším problémem je pomalejší odpovídání na DNS dotazy a nemožnost nasadit novou funkcionalitu DNS protokolu zvanou DNS Cookies, která by pomohla omezit DDoS útoky založené na zneužití DNS protokolu.

Pozor, změna

Abychom předešli dalšímu zhoršování stavu DNS služeb pro uživatele i operátory, rozhodli jsme se společně se skupinou výrobců DNS softwaru koordinovaně ukončovat podporu některých druhů nestandardních řešení, tedy podporu implementací, které nerespektují standard RFC 6891. Všechna nová vydání DNS softwaru od společností CZ.NIC, ISC, NLnet Labs a PowerDNS nebudou po 1. únoru 2019 obsahovat kód pro obcházení nekompatibilit se standardem RFC 6891.

Náš software Knot Resolver se od svého vzniku drží standardů a ve své výchozí konfiguraci se nepokouší obcházet nekompatiblity způsobené nedodržením těchto standardů. Přesto doporučujeme zkontrolovat vaše servery, a to proto, aby byla zaručena kompatibilita se softwarem všech ostatních výrobců dodržujících platné standardy.

Otestujte své domény a servery

Své domény a autoritativní DNS servery můžete nyní otestovat díky webové aplikaci na adrese ednscomp.isc.org/ednscomp/. Pokud je výsledkem vašeho testu zelená zpráva „All Ok“, tak jste již připraveni a nemusíte podnikat žádné další kroky. V případě, že je výsledkem cokoliv jiného než „All Ok“, aktualizujte svůj DNS software. Pokud používáte poslední verzi softwaru, obraťte se na jeho výrobce a požadujte po něm opravu. V tomto případě doporučujeme přiložit ke zprávě odkaz na výsledek testu, který obsahuje technické detaily.

Poznámka pro výrobce DNS software

Nic se nemění na tom, že ani nadále nemusí DNS software plně podporovat celý EDNS standard RFC 6891. Všichni výše uvedení výrobci samozřejmě zachovávají podporu pro servery, které se rozhodnou nepodporovat EDNS v souladu se standardem. Hlavní změna v implementaci protokolu tedy je, že nestandardní chování přestane být tolerováno.

V případě, že se rozhodnete nepodporovat EDNS, je nutné korektně odpovídat na dotazy obsahující EDNS rozšíření v souhladu s RFC 6891 sekce 7, tj. zejména odpovídat korektní DNS zprávou s RCODE=FORMERR. Při implementaci prosím postupujte podle uvedeného RFC. Děkujeme.

Nejdůležitější na závěr

Domény na serverech, které podle výše uvedených testů nejsou v souladu se standardem, nebudou po 1. únoru 2019 fungovat spolehlivě a mohou se stát nedostupnými.

Uvědomujeme si důležitost tohoto jednání a proto o něm chceme informovat co nejvíce lidí, kterých se může dotknout. Na tuto změnu, která začne platit již za méně než jeden rok, budeme soustavně upozorňovat. Pokud máte možnost šířit tyto informace k lidem, kteří mají na starosti sítě a DNS servery, budeme rádi, když pošlete odkaz na tento blogpost dál. Naším cílem je spolehlivě a správně fungující DNS, které se nedá tak snadno zneužívat k útokům.

Původně napsáno pro blog CZ.NIC.

Našli jste v článku chybu?