A Cisco é um dos maiores provedores de DNS do mundo, fornecendo um serviço DNS seguro baseado no
Cisco Umbrella (anteriormente OpenDNS), mas hoje não falaremos sobre isso nem mesmo sobre segurança. O fato é que, em 1º de fevereiro, chegará o chamado Dia da Bandeira do DNS, após o qual seu site poderá não estar acessível aos usuários da Internet.
Do que você está falando? O protocolo DNS foi desenvolvido no início dos anos 80. Desde então, muita água correu e no protocolo DNS foi necessário adicionar novos recursos e capacidades. Este trabalho começou em 1999, quando a primeira versão das extensões sob os nomes EDNS0 (Mecanismo de extensão para DNS) foi publicada na RFC 2671. Esta versão permitiu remover algumas restrições, por exemplo, o tamanho de alguns campos de sinalizadores, códigos de retorno, etc. A versão atual do protocolo EDNS estendido é descrita na
RFC 6891 . Ao mesmo tempo, os servidores DNS continuavam existindo na Internet que não suportavam e não suportam EDNS, criando assim algumas dificuldades na interação, a necessidade de fornecer compatibilidade com versões anteriores, o que leva a uma desaceleração de todo o sistema DNS e à impossibilidade de total menos perceber todos os novos recursos do EDNS.
Mas essa bacanal chegou ao fim - a partir de 1º de fevereiro, os servidores EDNS não suportados estarão indisponíveis e será impossível alcançá-los. Serão feitas alterações no software mais popular responsável pela operação do DNS - Bind, Knot Resolver, PowerDNS e Unbound, que aceitarão apenas tráfego que esteja em conformidade com o padrão EDNS. O tráfego de servidores antigos e não atualizados será considerado ilegítimo e esses servidores não serão atendidos, o que pode levar à inacessibilidade de domínios "travados" nesses servidores.
Para a maioria das empresas, o Dia da Bandeira do DNS passará despercebido, pois muitos provedores de DNS já estão atualizando ou atualizando seu software para as versões necessárias. Podem surgir dificuldades para as empresas que mantêm independentemente seus próprios servidores DNS, bem como para muitas agências governamentais que não atualizam o software em sua infraestrutura muito rapidamente, sem os meios ou especialistas qualificados. Como resultado, a partir de 1º de fevereiro, os sites de muitos departamentos podem ficar inacessíveis ou ter problemas de acesso.
Verificar as perspectivas de acessar seu site em fevereiro de 2019 é bastante simples - você só precisa acessar o
dnsflagday.net , inserir seu nome de domínio e obter um resultado com significados diferentes. Idealmente, você deve ver uma imagem semelhante à mostrada abaixo para
cisco.ru :
Se você vir uma imagem semelhante à emitida, por exemplo, para o site "Economia Digital" da ANO, isso significa que o site funcionará, mas não suporta o padrão DNS mais recente e não poderá implementar completamente as funções de segurança necessárias e poderá se tornar alvo para hackers que podem (e de repente) atacar este site.
As duas primeiras fotos desta nota com sinais de
trânsito vermelhos são a pior coisa que você pode ver. É melhor atualizar rapidamente o software que faz seu DNS funcionar. No site
dnsflagday.net, você pode obter todas as instruções e links necessários para atualizar seu software. Também existem links para vários utilitários para administradores, que permitem verificar sua infraestrutura de DNS em busca de pontos fracos.
Para concluir esta nota, não posso deixar de abordar questões de segurança. O fato é que alguns firewalls podem bloquear pacotes DNS com mais de 512 bytes (com extensões EDNS), o que pode levar a ataques de DoS (por exemplo, a ITU pode bloquear cookies DNS, que fazem parte do EDNS e são projetados especificamente para proteção ataques de DoS) e velocidades mais baixas da Internet. Portanto, vale a pena prestar atenção às regras da sua ITU, pois anteriormente era bastante comum e muitos simplesmente esqueceram quando e por que as regras foram adicionadas às suas ferramentas de segurança de perímetro de rede.
Antes do início do Dia da Bandeira do DNS, faltam menos de duas semanas - ainda há tempo suficiente para começar a cumprir o padrão e não reduzir a lealdade de clientes e cidadãos que, diante da inacessibilidade ou operação lenta do seu site, começarão a expressar seus comentários pouco lisonjeiros nas redes sociais.
Obviamente, não vale a pena falar sobre o apocalipse global. Além disso, para muitos, este dia, como escrevi acima, passará completamente despercebido. Mas as configurações de DNS neste dia serão alteradas por muitos provedores, o que pode afetar a disponibilidade de alguns sites. É um risco que vale a pena conhecer e para o qual você precisa estar preparado.