Toto je archivní verze stránky popisující akci skončenou v únoru 2019. Aktuální informace podstatné pro dnešek naleznete na hlavní stránce dnsflagday.net.

Co se připravuje?

Současný systém DNS je z pomalý a potýká se s technickými problémy způsobenými nedodržováním standardů vydaných již před dvaceti lety.

Aby celosvětové DNS bylo i nadále udržitelné je nezbytné provést změny a ukončit podporu nestandardních implemendací. Tímto krokem dojde ke zlepšení efektivity systému a bude umožněno nasadit novou funkcionalitu jako je např. lepší ochrana před DDoS útoky.

Z výše uvedených důvodů po 1. únoru 2019 níže uvedení výrobci ukončí podporu nestandardních implementací DNS. Tato změna ovlivní jen domény používající software, který nedodržuje standardy DNS.

Pro více informací klikněte na skupinu, do které spadáte:

• Jsem uživatel Internetu, nemám svou vlastní doménu
• Jsem držitel domény
• Jsem správce DNS
• Zajímám se o DNS z odborného hlediska (vývoj DNS softwaru, výzkum, atd.)

Jsem uživatel Internetu

Pokud nemáte vlastní doménu, není třeba se strachovat. Vás se změna týká pouze nepřímo a není nutné podnikat žádné další kroky. Děkujeme za váš zájem o DNS!

Jsem držitel domény

Jste-li držitel domény, zkontrolujte, zda je vaše doména připravena na změny v systému DNS pomocí následujícího formuláře. Výsledek testu vám v případě potřeby zároveň sdělí doporučený postup nápravy.

Test domény

Jméno domény (bez www):

Pokud máte více domén hostovaných na stejné sadě serverů, stačí otestovat pouze jednu z nich. Další informace naleznete v části technické detaily testů.

Jsem správce DNS

Dopady plánované změny na klientskou stranu DNS popisuje následující kapitola o DNS resolverech. Malé procento autoritativních serverů může vyžadovat změny, které jsou popsány níže. Pro zájemce o hlubší porozumění uvádíme další technické detaily testů a nástroje pro experty.

Správci DNS resolverů

V krátkém období po 1. únoru 2019 budou vydány nové verze DNS resolverů, které již nebudou obcházet problémy nestandarních implementací. Proto se autoritativní servery, které nedodržují starší standard DNS z roku 1987 (RFC1035) ani novější standard EDNS z roku 1999 (RFC2671, RFC6891) stanou nedostupnými. Zároveň stejnou změnu nasadí také poskytovatelé veřejných DNS resolverů, kteří jsou uvedení níže, takže tato změna ovlivní uživatele Internetu bez ohledu na rychlost aktualizace software resolverů.

Důsledkem plánované změny se domény hostované na vadných autoritativních serverech stanou nedostupné. Pokud v období po 1. únoru 2019 budete řešit problémy s nedostupností domén, doporučujeme vám zkontrolovat postiženou domény pomocí webového formuláře výše. Pokud test domény opakovaně selhává, potom se nejedná o chybu na straně vašeho resolveru a oprava musí být provedena na straně autoritativního serveru.

Dále uvádíme verze DNS resolverů, které již nebudou obcházet problémy nestandarních implementací:

• BIND 9.13.3 (vývojová verze) a 9.14.0 (produkční)
• Knot Resolver ve všech současných verzích již implementuje striktní chování
• PowerDNS Recursor 4.2.0
• Unbound 1.9.0

Správci DNS serverů

Po 1. únoru 2019 poskytovatelé veřejných DNS resolverů, kteří jsou uvedení níže během krátkého období ukončí podporu autoritativních serverů, jež nedodržují starší standard DNS z roku 1987 (RFC1035) ani novější standard EDNS z roku 1999 (RFC2671, RFC6891). Domény hostované na serverech, které nedodržují standardy se tak pro významnou část uživatelů Internetu stanou nedostupnými.

Pro minimalizaci problémů vám doporučujeme použít následující postup:

1. Otestujte své autoritativní servery pomocí formuláře uvedeného výše. Stačí otestovat libovolnou DNS zónu hostovanou na vašich DNS serverech. (Testované vlastnosti serverů nezávisí na obsahu zóny, takže není potřeba testovat všechny zóny jednotlivě, stačí pokrýt všechny autoritativní servery.)
2. Výsledek testu může být ovlivněn dočasným problémem v síti. Pokud je detekován problém, zkuste zopakovat test.
3. Pokud testy selhávají, aktualizujte váš DNS software na poslední stabilní verzi a zopakujte test. Pokud testy selhávají i po aktualizaci DNS softwaru, doporučujeme vám zkontrolovat konfiguraci firewallu.
4. Firewally nesmí zahazovat DNS pakety obsahující rozšíření EDNS, včetně dosud neznámých rozšíření splňující standard EDNS.

Články jednotlivých výrobců k tomuto tématu naleznete zde:

• Akamai
• Citrix
• BlueCat
• efficient iP
• F5 BIG-IP
• Google
• Infoblox
• Microsoft Azure, Microsoft DNS
• Pulse Secure
• Juniper SRX ve výchozím nastavení zahazují EDNS pakety. Řešením je buď upgrade na polední verzi, nebo vypnutí funkce “DNS doctoring” příkazem # set security alg dns doctoring none.

Pokud jste provedli upgrade DNS softwaru a problém přetrvává i po aplikaci postupů uvedených výše, prosím kontaktujte výrobce firewallu a požadujte opravu.

Podrobnosti o testování

Vaše doména může nebo nemusí obsahovat předponu www, např. doména může být www.nic.cz nebo pouze nic.cz. Pokud si nejste jistí, doporučujeme vám otestovat obě možnosti. Pro jména, která nejsou tzv. DNS zóny, bude testovací formulář upozorňovat, že se nejedná o zónu. V takovém případě lze konkrétní jméno ignorovat a otestovat pouze druhé z dvojice.

Skenování velkého počtu domén

Testovací formulář uvedený výše na pozadí používá server s nástrojem ednscomp, který nemá velkou kapacitu. Pokud potřebujete otestovat velké množství domén, použijte prosím nástroje odkazované níže. Pokud budete nadmíru zatěžovat server automatizovanými dotazy, budeme nuceni omezit počet dotazů nebo vám službu odepřít.

Podrobné výsledky testů

Testovací formulář uvedený výše na pozadí provádí technické testy pomocí nástroje ednscomp a z dílčích výsledků počítá souhrnné hodnocení.

DNS servery lze také otestovat přímo pomocí nástroje ednscomp, který zobrazuje podrobnou technickou zprávu. Do pole zone name zadejte jméno jakékoliv zóny hostované na vašich DNS serverech a klikněte na tlačítko Submit.

Celkový výsledek zobrazený nástrojem ednscomp by měla být zpráva All Ok (zelenou barvou).

Minimální funkční konfigurace

Pro minimální konfiguraci, která ještě bude v roce 2019 fungovat, nevypisuje nástroj ednscomp výsledek timeout v žádném z testů pro původní DNS ani v testech pro rozšíření EDNS verze 0. Vezměte prosím na vědomí, že takováto minimální konfigurace stále neodpovídá standardům a dříve nebo později bude způsobovat potíže. Z tohoto důvodu doporučujeme najednou opravit vaše DNS tak, aby všechny testy skončily výsledkem ok. Vyhnete se tak problémům v budoucnu.

Pokud bude zjištěn problém, nástroj ednscomp vám zobrazí vysvětlení pro každý test. Problémy jsou typicky způsobeny:

• zastaralým nebo nekvalitním DNS softwarem
• chybnou konfigurací firewallu

Firewally nesmí zahazovat DNS pakety obsahující rozšíření EDNS, včetně dosud neznámých rozšíření splňující standard EDNS. Moderní DNS software používá rozšíření jako např. DNS cookies pro ochranu proti DDoS útokům. Firewally, které zahazují DNS pakety s rozšířeními ve skutečnosti zhoršují situaci pro všechny uživatele, včetně zhoršování DDoS útoků a zpomalování DNS provozu.

Další technické podrobnosti jsou uvedeny v následující kapitole.

Zajímám se o DNS z odborného hlediska

Vývojáři DNS softwaru

Hlavní změna spočívá v tom, že DNS software od výše uvedených výrobců bude nově interpretovat timeout (vypršení časového limitu požadavku) jako příznak problému na síti nebo vzdáleném serveru. Počínaje 1. únorem 2019 DNS timeout nezpůsobí vypnutí EDNS.

Důsledkem je, že DNS servery které vůbec neodpovídají na EDNS dotazy se stanou zcela nedostupnými.

Prosím otestujte svou implementaci DNS pomocí nástroje ednscomp a ujistěte se, že správně zpracováváte rozšíření EDNS. Zdrojový kód testovacího nástroje je také k dispozici.

Zdůrazňujeme, že rozšíření EDNS stále není povinné. Pokud se rozhodnete nepodporovat EDNS, vše bude fungovat pokud se váš software bude řídit podle EDNS standardu sekce 7.

Jinak řečeno, software, který správně implementuje původní standard RFC1035 z roku 1987 nevyžaduje změny. Opravy vyžaduje pouze software, který nedodržuje standardy.

Výzkumníci

Další zdroje pro výzkumníky, operátory TLD atd.:

• Statistiky podpory EDNS vygenerované pomocí sady EDNS testů vytvořené sdružením ISC.
• Prezentace níže
• Nástroje pro skenování velkého počtu domén atd.

Prezentace

Obecné

• Bude vaše doména fungovat i v roce 2019? - CSNOG1: abstrakt, prezentace, video
• LOADAYS 2018: abstrakt, prezentace, video

Technické

• DNS-OARC 29: A tale of five ccTLDs abstract, slides, video
• DNS-OARC 29: Estimating impact of the (E)DNS flag day abstract, slides, video
• DNS-OARC 28: First announcement abstract, slides, video

Nástroje

• ISC EDNS Compliance tester, zdrojový kód pro testování všech aspektů implementace EDNS
• EDNS zone scanner pro kontrolu velkého množství zón a vyhodnocení dopadů změny (CZ.NIC)
• Testování EDNS kompatibility pomocí nástroje dig
• DNSViz

Před interpretací dat si prosím přečtěte metodologii uvedenou u konkrétního zdroje. S dotazy se neváhejte obrátit na autory nástrojů pomocí odkazů uvedených výše.

Kontakty

• Připomínky k tomuto webu prosím směřujte do dnsflagday repozitáře na Githubu
• Komentáře k výsledkům testů z toho webu nebo přímo nástroje ednscomp prosím hlaste do DNS Compliance Testing projektu v Gitlabu ISC

Akci podporují

Literatura

• Minimal EDNS compliance requirements
• “The DNS Camel”, or, the rise in DNS complexity