TL; DR: à partir de février 2020, les serveurs DNS qui ne prennent pas en charge le traitement des requêtes DNS sur UDP et TCP peuvent cesser de fonctionner.Ceci est une continuation du post "Que se passera-t-il le 1er février?" datée du 24 janvier 2019. Il est conseillé au lecteur de se familiariser avec la première partie de l'histoire afin de comprendre le contexte.
Bangkok, en général, est un endroit amateur. Bien sûr, il est chaleureux, bon marché et la cuisine est intéressante, et
vous n'avez pas besoin d'obtenir des visas pour la moitié de la population de la Terre à l'
avance , mais vous devez toujours vous habituer aux odeurs, et les rues de la ville vous rappellent au mieux les classiques du cyberpunk.
En particulier, le paysage de gauche est observé près du centre de la capitale de la Thaïlande, en face d'une rue de l'hôtel Shangri-La, où la 30e réunion de DNS-OARC, une organisation à but non lucratif dédiée à la sécurité, la stabilité et le développement du système de noms de domaine DNS, s'est tenue du 12 au 13 mai. .
Les diapositives du programme DNS-OARC 30 sont, en principe, recommandées pour étude par tous ceux qui s'intéressent au fonctionnement du DNS, mais la chose la plus intéressante est peut-être quelque chose qui n'était pas dans les diapositives. À savoir, une table ronde de 45 minutes discutant des résultats de la journée du drapeau DNS le 1er février 2019.
Et la chose la plus intéressante dans la table ronde est la décision de
poursuivre la
pratique du DNS Flag Day .
Des problèmes, officier?
Diverses
études ont montré que l'effet du premier jour du drapeau DNS était minimisé. Oui, pour certains, le processus d'adaptation
pourrait devenir pénible , mais au final, presque tous les serveurs DNS obsolètes ont été mis à jour et les pare-feu mal configurés ont été configurés correctement.
En conséquence, les organisateurs de Flag Day perçoivent ce qui s'est passé comme une grande victoire et, inspirés par le succès, ne vont pas s'arrêter là.
La table ronde a discuté des
tâches suivantes que les prochains «jours du drapeau» peuvent aider à accomplir:
- Prise en charge de la réconciliation des versions EDNS sur les serveurs DNS publics;
- Prise en charge de la RANDOMISATION des caractères majuscules et minuscules dans les requêtes DNS afin d'augmenter l'entropie contenue dans les requêtes et les réponses;
- Prise en charge de DNS sur TCP sur les serveurs DNS (faisant autorité et récursifs);
- Implémentation de la RFC 8020 , qui demande aux résolveurs récursifs de cesser d'accéder au domaine et à tous ses sous-domaines si une réponse de type NXDOMAIN est reçue;
- Manque de support pour IPv6, etc.
Finalement, une décision a été prise, qui a été annoncée lors de la réunion plénière du
RIPE 78 en même temps que la publication de ce poste.
Encore une fois: à partir de février 2020, les serveurs DNS qui ne prennent pas en charge le traitement des requêtes DNS à la fois sur UDP et sur TCP peuvent cesser de fonctionner.
Cependant, une date précise n'a pas encore été déterminée. Très probablement, ce sera le 1er février, mais le jour peut être changé. Cependant, selon les organisateurs de DNS Flag Day 2020 (et ce sont les mêmes individus et entreprises que cette année), neuf mois pour mettre en œuvre le support TCP dans les installations DNS existantes est assez suffisant, il n'est donc guère logique de reporter l'événement.
Sur tcp
Aujourd'hui, TCP dans DNS est généralement pris en charge.
Le fonctionnement d'un système de noms de domaine utilisant TCP est nécessaire pour plusieurs raisons:
- Livraison de réponses plus grandes que le MTU du chemin, sans utiliser de fragmentation IP non fiable ;
- Support DNSSEC;
- Lutte contre les attaques DDoS, etc.
Côté client, DNS sur TCP est depuis longtemps pris en charge par presque tous les résolveurs de stub, y compris Windows.
En fait, DNS sur TCP n'est pas optionnel depuis très longtemps. Comme l'a
noté Mark Andrews, le développeur du serveur DNS Bind,
RFC 1123 (publié en 1989) nous a permis de ne pas implémenter le traitement des requêtes et des réponses DNS via TCP uniquement si l'opérateur du serveur en comprenait bien les conséquences et était capable de prendre en charge toutes les fonctionnalités du protocole DNS sans TCP. À ce jour, cette dernière est tout simplement impossible.
Une analyse de 34 millions de domaines sur 59
TLD montre que l'obligation d'utiliser TCP entraîne désormais des problèmes dans environ 7% des domaines. À titre de comparaison, en novembre 2018 - 3 mois avant le premier jour du drapeau DNS - les problèmes avec EDNS avaient 5,68% des sites testés.
De ces 7%:
- 90% des problèmes sont liés au travail de serveurs faisant autorité de 10 entreprises;
- 68% des problèmes sont bloqués sur les serveurs d' une seule entreprise - l'opérateur chinois Hichina;
- Avec d'autres fournisseurs chinois problématiques - AliDNS et Xinnet - cette part est déjà de 72%;
- La moitié de la liste a également eu des problèmes avec EDNS en novembre 2018, mais les a résolus avec succès.
Les organisateurs de Flag Day sont parvenus à un consensus sur le fait que les milliers d'opérateurs qui composent la communauté DNS ne devraient plus payer pour le support de béquilles pour quelques dizaines d'entreprises qui ne mettent pas à jour leurs serveurs.
Un point important, comme la dernière fois, les conséquences peuvent être non seulement pour les propriétaires de serveurs DNS, mais aussi pour les administrateurs réseau bloquant l'accès au port 53 / TCP sur le pare-feu.
D'ici février 2020, l'accès sur le port 53 / TCP aux serveurs DNS devrait fonctionner .
Et puis quoi?
Bien sûr, les organisateurs de Flag Day mettront à jour
leur site et ajouteront des informations sur DNS Flag Day 2020 et des utilitaires pour vérifier la compatibilité de tous les domaines avec les exigences de 2020.
N'oubliez pas d'effectuer un tel contrôle avant la fin de l'année afin de vous assurer que vous n'aurez pas de problèmes.
Le Libor Peltan de CZ.NIC parlera en détail des plans du DNS Flag Day 2020 lors de la prochaine
réunion du groupe eurasien des opérateurs de réseau ENOG à Tbilissi les 3 et 4 juin. La diffusion avec traduction en russe sera disponible en temps réel sur le site, au même endroit (et dans le chat Telegram
ENOG Talk ) où vous pourrez poser des questions.
Vous pouvez également suivre ce qui se passe
sur Twitter .
Le jour du drapeau DNS 2021 sera probablement planifié selon un calendrier similaire, à commencer par DNS-OARC 32 au printemps 2020. Les demandes de béquilles qui auraient dû être enterrées depuis longtemps sont acceptées et collectées
sur Github .