¿Qué va a pasar el 1 de febrero de 2020?

TL; DR: a partir de febrero de 2020, los servidores DNS que no admiten DNS a través de UDP y TCP pueden dejar de funcionar.

Bangkok, en general, es un lugar extraño para quedarse. Por supuesto, hace calor allí, es bastante barato y algunos pueden encontrar la cocina interesante, junto con el hecho de que aproximadamente la mitad de la población mundial no necesita solicitar una visa por adelantado para llegar allí. Sin embargo, aún necesita familiarizarse con los olores, y las calles de la ciudad están proyectando escenas de cyberpunk más que cualquier otra cosa.

En particular, se tomó una foto a la izquierda no lejos del centro de la capital de Tailandia, a una calle del hotel Shangri-La, donde tuvo lugar la 30ª reunión de la organización DNS-OARC los días 12 y 13 de mayo. Una organización sin fines de lucro dedicada a la seguridad, la estabilidad y el desarrollo general del DNS: el Sistema de nombres de dominio.

Las diapositivas de la reunión DNS-OARC 30 se recomiendan para todos los interesados ​​en cómo funciona el DNS, aunque quizás lo más interesante es lo que falta en esas diapositivas. A saber, una mesa redonda de 45 minutos con una discusión sobre los resultados del Día de la Bandera de DNS 2019 , que tuvo lugar el 1 de febrero de 2019.

Y, el resultado más impresionante de una mesa redonda es la decisión de repetir DNS Flag Day una vez más .

¿Problemas, oficial?

Como lo demuestran varios estudios , el efecto negativo del Día de la Bandera de DNS fue insignificante. Probablemente para alguien, el proceso de adaptación podría ser doloroso, pero al final, casi todos los servidores DNS obsoletos se actualizaron y se corrigieron los firewalls configurados incorrectamente.

De acuerdo con este curso de acción, los organizadores del Día de la Bandera de DNS perciben lo que sucedió como una gran victoria y, inspirados por el éxito, no planean detenerse.

En la mesa redonda, se discutieron numerosas tareas que los próximos "días de bandera" podrían ayudar a lograr:

• Soporte para la negociación de versiones EDNS en servidores DNS públicos;
• Soporte para RaNdOmIzAtIoN de mayúsculas y minúsculas en consultas DNS para aumentar la entropía contenida en las solicitudes y respuestas;
• Compatibilidad con DNS sobre TCP en servidores DNS (tanto autoritarios como recursivos);
• Implementación de RFC 8020 , que ordena a los resolutivos recursivos que dejen de consultar un dominio y todos sus subdominios si reciben una respuesta de tipo NXDOMAIN;
• Soporte de IPv6, etc.

Finalmente, se tomó una decisión presentada en la reunión RIPE 78 de esta semana. Una vez más: a partir de febrero de 2020, los servidores DNS que no admiten el procesamiento de consultas DNS basadas en UDP y TCP pueden dejar de funcionar.

El día exacto, sin embargo, aún no se ha determinado. Lo más probable es que sea el 1 de febrero del año 2020, pero la fecha exacta aún está sujeta a cambios. Aún así, según los organizadores del DNS Flag Day 2020 (casi las mismas organizaciones e individuos que en el primer Flag Day), nueve meses son suficientes para garantizar el soporte TCP en las instalaciones DNS existentes, sin tener sentido posponer el evento.

Sobre tcp

Hoy, DNS sobre TCP es, en general, compatible con Internet.

La operación del Sistema de nombres de dominio sobre TCP es necesaria para manejar varios casos importantes:

1. Entrega de respuestas con tamaños que exceden la ruta MTU , sin usar fragmentación de IP generalmente poco confiable ;
2. Soporte DNSSEC;
3. Combatir ataques DDoS;
4. Etc.

En el lado del cliente (stub resolver) , el DNS sobre TCP ha sido compatible durante bastante tiempo en casi todas partes, incluido Windows.

DNS sobre TCP ha sido, de hecho, obligatorio. Como Mark Andrews, el desarrollador del servidor DNS de Bind, señala , RFC 1123 (publicado en 1989) permite manejar consultas y respuestas DNS a través de UDP solo si el operador del servidor es consciente de las consecuencias y es capaz de mantener la funcionalidad completa del protocolo DNS sin TCP Hoy en día, esto último es básicamente imposible.

El análisis de 34 millones de dominios de 59 TLD pone de manifiesto que el requisito de utilizar TCP genera problemas para aproximadamente el 7% de los dominios. Para comparar, en noviembre de 2018, tres meses antes del Día de la Bandera DNS 2019, el 5.68% de los sitios probados aún tenían problemas de EDNS.

De esos 7%:

• El 90% de los problemas están asociados con el trabajo de servidores autorizados de 10 empresas;
• El 68% del problema está bloqueado en los servidores de una sola compañía : el ISP chino Hichina;
• Junto con otros proveedores chinos, AliDNS y Xinnet, esta participación aumenta al 72%;
• La mitad de los nombres en la lista también tenían problemas con EDNS en noviembre de 2018, aunque los resolvió con éxito casi en el momento.

Los organizadores del Día de la Bandera llegaron a un consenso de que miles de ISP y operadores de DNS que conforman la comunidad de DNS ya no deberían pagar soluciones alternativas para beneficiar a un par de docenas de empresas que no están actualizando sus servidores.

Además, el punto crítico, al igual que la última vez, es que las consecuencias se aplican no solo a los propietarios de servidores DNS, sino también a los administradores de red, si bloquean el acceso al puerto 53 / TCP en sus firewalls.
Para febrero de 2020, el acceso a través del puerto 53 / TCP a los servidores DNS debe funcionar.

Que sigue

Sin duda, los organizadores del Día de la Bandera actualizarían su sitio web y agregarían información y herramientas de DNS Flag Day 2020 para verificar que cualquier dominio cumpla con los requisitos de 2020.

No olvide llevar a cabo dicho control antes de fin de año, para asegurarse de que no tenga problemas.

El Día de la Bandera DNS 2020 se discutió durante la reunión RIPE 78 en Reykjavík, aquí están las diapositivas , aquí está el video .

También puedes seguir lo que está sucediendo con Twitter .

El Día de la Bandera de DNS 2021 probablemente se planificará en un horario similar, comenzando con el DNS-OARC 32 en la primavera del año 2020. Las solicitudes de soluciones y arreglos, que deberían haberse enterrado hace mucho tiempo, se aceptan y se recogen en GitHub .