TL; DR: a partir de fevereiro de 2020, os servidores DNS que não suportam o processamento de consultas DNS por UDP e TCP podem parar de funcionar.Esta é uma continuação do post "O que acontecerá em 1º de fevereiro?" de 24 de janeiro de 2019. O leitor é incentivado a se familiarizar rapidamente com a primeira parte da história, a fim de entender o contexto.
Bangkok, em geral, é um lugar amador. É claro que é quente, barato e a cozinha é interessante, e
você não precisa obter vistos para metade da população da Terra com
antecedência , mas ainda precisa se acostumar com os cheiros, e as ruas da cidade fazem você se lembrar dos clássicos do cyberpunk.
Em particular, a paisagem à esquerda é observada perto do centro da capital da Tailândia, do outro lado da rua do Shangri-La Hotel, onde a 30ª reunião do DNS-OARC, uma organização sem fins lucrativos dedicada à segurança, estabilidade e desenvolvimento do sistema de nomes de domínio DNS, foi realizada de 12 a 13 de maio. .
Os slides do programa DNS-OARC 30 são, em princípio, recomendados para estudo por todos os interessados na operação do DNS, mas o mais interessante é, talvez, algo que não estava nos slides. Ou seja, uma mesa redonda de 45 minutos discutindo os resultados do Dia da Bandeira do DNS em 1º de fevereiro de 2019.
E o mais interessante na mesa redonda é a decisão de que a
prática do Dia da Bandeira do DNS continuará .
Problemas, oficial?
Vários
estudos mostraram que o efeito do primeiro dia da bandeira do DNS foi minimizado. Sim, para alguns, o processo de adaptação
pode se tornar doloroso , mas no final, quase todos os servidores DNS desatualizados foram atualizados e os firewalls configurados incorretamente foram configurados corretamente.
Assim, os organizadores do Dia da Bandeira percebem o que aconteceu como uma grande vitória e, inspirados pelo sucesso, não vão parar por aí.
A mesa redonda discutiu as seguintes
tarefas que os próximos "dias da bandeira" podem ajudar a realizar:
- Suporte para reconciliar versões do EDNS em servidores DNS públicos;
- Suporte à RANDOMIZAÇÃO de caracteres maiúsculos e minúsculos nas consultas DNS , a fim de aumentar a entropia contida nas consultas e respostas;
- Suporte para DNS sobre TCP em servidores DNS (autoritativos e recursivos);
- Implementação da RFC 8020 , que instrui os resolvedores recursivos a interromper o acesso ao domínio e a todos os seus subdomínios se uma resposta do tipo NXDOMAIN for recebida;
- Falta de suporte para IPv6, etc.
Por fim, foi tomada uma decisão anunciada na reunião plenária do
RIPE 78 simultaneamente à publicação deste post.
Novamente: a partir de fevereiro de 2020, os servidores DNS que não suportam o processamento de consultas DNS tanto em UDP quanto em TCP podem parar de funcionar.
Uma data específica, no entanto, ainda não foi determinada. Provavelmente, será 1º de fevereiro, mas o dia pode ser alterado. No entanto, de acordo com os organizadores do Dia da Bandeira do DNS em 2020 (e são os mesmos indivíduos e empresas que este ano), nove meses para implementar o suporte ao TCP nas instalações de DNS existentes são suficientes, portanto, não faz sentido adiar o evento.
Over tcp
Hoje, o TCP no DNS geralmente é suportado.
A operação de um sistema de nomes de domínio usando TCP é necessária por vários motivos:
- Entrega de respostas maiores que o caminho MTU , sem o uso de fragmentação de IP não confiável ;
- Suporte DNSSEC;
- Lute contra ataques DDoS, etc.
No lado do cliente, o DNS sobre TCP é suportado por quase todos os resolvedores de stub, incluindo o Windows.
De fato, o DNS sobre TCP não é opcional há muito tempo. Como
observado por Mark Andrews, o desenvolvedor do servidor Bind DNS,
RFC 1123 (publicado em 1989) nos permitiu não implementar o processamento de consultas e respostas DNS sobre TCP apenas se o operador do servidor estivesse ciente das conseqüências e capaz de suportar a funcionalidade completa do protocolo DNS sem TCP. Até o momento, o último é simplesmente impossível.
Uma análise de 34 milhões de domínios em 59
TLDs mostra que o requisito de usar o TCP agora leva a problemas em cerca de 7% dos domínios. Para comparação, em novembro de 2018 - três meses antes do primeiro dia da bandeira do DNS - os problemas com o EDNS tiveram 5,68% dos sites testados.
Destes 7%:
- 90% dos problemas estão relacionados ao trabalho de servidores autorizados de 10 empresas;
- 68% dos problemas estão bloqueados nos servidores de uma única empresa - a operadora chinesa Hichina;
- Juntamente com outros fornecedores chineses problemáticos - AliDNS e Xinnet - essa participação já é de 72%;
- Metade da lista também teve problemas com o EDNS em novembro de 2018, mas os resolveu com êxito.
Os organizadores do Dia da Bandeira chegaram a um consenso de que os milhares de operadores que compõem a comunidade DNS não deveriam mais pagar pelo suporte de muletas a algumas dúzias de empresas que não estão atualizando seus servidores.
Um ponto importante, como da última vez, as consequências podem ser não apenas para os proprietários de servidores DNS, mas também para os administradores de rede que estão bloqueando o acesso à porta 53 / TCP no firewall.
Até fevereiro de 2020, o acesso na porta 53 / TCP aos servidores DNS deve funcionar .
E depois o que?
Obviamente, os organizadores do Dia da Bandeira atualizarão
seu site e adicionarão informações sobre o Dia da Bandeira DNS 2020 e utilitários para verificar a compatibilidade de todos os domínios com os requisitos de 2020.
Não se esqueça de realizar essa verificação antes do final do ano para garantir que você não terá problemas.
A Libor Peltan da CZ.NIC falará em detalhes sobre os planos do DNS Flag Day 2020 na próxima
reunião do grupo eurasiático de operadores de rede ENOG em Tbilisi , de 3 a 4 de junho. A transmissão com tradução para o russo estará disponível em tempo real no site, no mesmo local (e no
ENOG Talk do Telegram chat), você poderá fazer perguntas.
Você também pode acompanhar o que está acontecendo
no Twitter .
O Dia da Bandeira do DNS em 2021 será planejado, provavelmente, em um cronograma semelhante, começando com o DNS-OARC 32 na primavera de 2020. Os pedidos de muletas que deveriam ter sido enterrados há muito tempo são aceitos e coletados
no Github .