| title | lang | redirect_from | |
|---|---|---|---|
2019 |
cs |
|
Současný systém DNS je z pomalý a potýká se s technickými problémy způsobenými nedodržováním standardů. Pro celosvětový chod je nezbytné provést změny, aby bylo možné nasadit novou funkcionalitu jako je např. lepší ochrana před DDoS útoky.
Z výše uvedených důvodů bude po 1. únoru 2019 ukončena podpora některých historických implementací DNS. Tato změna ovlivní jen domény používající software, který nedodržuje ani starší standard DNS z roku 1987 (RFC1035) ani novější standard EDNS z roku 1999 (RFC2671, RFC6891).
Pro více informací klikněte na skupinu, do které spadáte:
- Jsem uživatel Internetu, nemám svou vlastní doménu
- Jsem držitel domény
- Jsem správce DNS
- Zajímám se o DNS z odborného hlediska (vývoj DNS softwaru, výzkum, atd.)
Pokud nemáte vlastní doménu, není třeba se strachovat. Vás se změna týká pouze nepřímo a není nutné podnikat žádné další kroky. Děkujeme za váš zájem o DNS!
Jste-li držitel domény, zkontrolujte, zda je vaše doména připravena na změnu systému DNS pomocí následujícího formuláře. Výsledek testu vám v případě potřeby zároveň sdělí doporučený postup nápravy.
{% include checker.html lang=site.data.checker.cs %}
Dopady plánované změny na klientskou stranu DNS popisuje následující kapitola o DNS resolverech. Malé procento autoritativních serverů může vyžadovat změny, které jsou popsány níže. Pro zájemce o hlubší porozumění uvádíme další technické detaily testů a nástroje pro experty.
V krátkém období po 1. únoru 2019 budou vydány nové verze DNS resolverů, které již nebudou obcházet problémy nestandarních implementací. Proto se autoritativní servery, které nedodržují starší standard DNS z roku 1987 (RFC1035) ani novější standard EDNS z roku 1999 (RFC2671, RFC6891) stanou nedostupnými. Zároveň stejnou změnu nasadí také poskytovatelé veřejných DNS resolverů, kteří jsou uvedení níže, takže tato změna ovlivní uživatele Internetu bez ohledu na rychlost aktualizace software resolverů.
Důsledkem plánované změny se domény hostované na vadných autoritativních serverech stanou nedostupné. Pokud v období po 1. únoru 2019 budete řešit problémy s nedostupností domén, doporučujeme vám zkontrolovat postiženou domény pomocí webového formuláře výše. Pokud test domény opakovaně selhává, potom se nejedná o chybu na straně vašeho resolveru a oprava musí být provedena na straně autoritativního serveru.
Dále uvádíme verze DNS resolverů, které již nebudou obcházet problémy nestandarních implementací:
- BIND 9.13.3 (vývojová verze) a 9.14.0 (produkční)
- Knot Resolver ve všech současných verzích již implementuje striktní chování
- PowerDNS Recursor 4.2.0
- Unbound 1.9.0
Po 1. únoru 2019 poskytovatelé veřejných DNS resolverů, kteří jsou uvedení níže během krátkého období ukončí podporu autoritativních serverů, jež nedodržují starší standard DNS z roku 1987 (RFC1035) ani novější standard EDNS z roku 1999 (RFC2671, RFC6891). Domény hostované na serverech, které nedodržují standardy se tak pro významnou část uživatelů Internetu stanou nedostupnými.
Pro minimalizaci problémů vám doporučujeme použít následující postup:
- Otestujte své autoritativní servery pomocí formuláře uvedeného výše. Stačí otestovat libovolnou DNS zónu hostovanou na vašich DNS serverech. (Testované vlastnosti serverů nezávisí na obsahu zóny, takže není potřeba testovat všechny zóny jednotlivě, stačí pokrýt všechny autoritativní servery.)
- Výsledek testu může být ovlivněn dočasným problémem v síti. Pokud je detekován problém, zkuste zopakovat test.
- Pokud testy selhávají, aktualizujte váš DNS software na poslední stabilní verzi a zopakujte test. Pokud testy selhávají i po aktualizaci DNS softwaru, doporučujeme vám zkontrolovat konfiguraci firewallu.
- Firewally nesmí zahazovat DNS pakety obsahující rozšíření EDNS, včetně dosud neznámých rozšíření splňující standard EDNS. Články jednotlivých výrobců k tomuto tématu naleznete zde:
- Akamai
- BlueCat
- F5 BIG-IP
- Juniper SRX ve výchozím nastavení zahazují EDNS pakety. Řešením je buď upgrade na polední verzi, nebo vypnutí funkce "DNS doctoring" příkazem
# set security alg dns doctoring none.
Pokud jste provedli upgrade DNS softwaru a problém přetrvává i po aplikaci postupů uvedených výše, prosím kontaktujte výrobce firewallu a požadujte opravu.
Testovací formulář uvedený výše na pozadí provádí technické testy pomocí nástroje ednscomp a z dílčích výsledků počítá souhrnné hodnocení.
DNS servery lze také otestovat přímo pomocí nástroje ednscomp, který zobrazuje podrobnou technickou zprávu. Do pole zone name zadejte jméno jakékoliv zóny hostované na vašich DNS serverech a klikněte na tlačítko Submit.
Celkový výsledek zobrazený nástrojem ednscomp by měla být zpráva All Ok (zelenou barvou).
Pro minimální konfiguraci, která ještě bude v roce 2019 fungovat, nevypisuje nástroj ednscomp výsledek timeout v žádném z testů pro původní DNS ani v testech pro rozšíření EDNS verze 0. Vezměte prosím na vědomí, že takováto minimální konfigurace stále neodpovídá standardům a dříve nebo později bude způsobovat potíže. Z tohoto důvodu doporučujeme najednou opravit vaše DNS tak, aby všechny testy skončily výsledkem ok. Vyhnete se tak problémům v budoucnu.
Pokud bude zjištěn problém, nástroj ednscomp vám zobrazí vysvětlení pro každý test. Problémy jsou typicky způsobeny:
- zastaralým nebo nekvalitním DNS softwarem
- chybnou konfigurací firewallu
Firewally nesmí zahazovat DNS pakety obsahující rozšíření EDNS, včetně dosud neznámých rozšíření splňující standard EDNS. Moderní DNS software používá rozšíření jako např. DNS cookies pro ochranu proti DDoS útokům. Firewally, které zahazují DNS pakety s rozšířeními ve skutečnosti zhoršují situaci pro všechny uživatele, včetně zhoršování DDoS útoků a zpomalování DNS provozu.
Další technické podrobnosti jsou uvedeny v následující kapitole.
Hlavní změna spočívá v tom, že DNS software od výše uvedených výrobců bude nově interpretovat timeout (vypršení časového limitu požadavku) jako příznak problému na síti nebo vzdáleném serveru. Počínaje 1. únorem 2019 DNS timeout nezpůsobí vypnutí EDNS.
Důsledkem je, že DNS servery které vůbec neodpovídají na EDNS dotazy se stanou zcela nedostupnými.
Prosím otestujte svou implementaci DNS pomocí nástroje ednscomp a ujistěte se, že správně zpracováváte rozšíření EDNS. Zdrojový kód testovacího nástroje je také k dispozici.
Zdůrazňujeme, že rozšíření EDNS stále není povinné. Pokud se rozhodnete nepodporovat EDNS, vše bude fungovat pokud se váš software bude řídit podle EDNS standardu sekce 7.
Jinak řečeno, software, který správně implementuje původní standard RFC1035 z roku 1987 nevyžaduje změny. Opravy vyžaduje pouze software, který nedodržuje standardy.
Další zdroje pro výzkumníky:
- Statistiky podpory EDNS vygenerované pomocí sady EDNS testů vytvořené sdružením ISC.
- EDNS skener zón vytvořený sdružením CZ.NIC, který si klade za cíl vyhodnotit reálný dopad změny popsané na této stránce.
Před interpretací dat si prosím přečtěte metodologii uvedenou u konkrétního zdroje. S dotazy se neváhejte obrátit na autory pomocí odkazů uvedených výše.
- Bude vaše doména fungovat i v roce 2019? - CSNOG1: abstrakt, prezentace, video
- LOADAYS 2018: abstrakt, prezentace, video
- DNS-OARC 29: A tale of five ccTLDs abstract, slides, video
- DNS-OARC 29: Estimating impact of the (E)DNS flag day abstract, slides, video
- DNS-OARC 28: First announcement abstract, slides, video
- ISC EDNS Compliance tester, source code
- EDNS zone scanner pro kontrolu velkého množství zón a vyhodnocení dopadů změny
- DNSViz
- Připomínky k tomuto webu prosím směřujte do dnsflagday repozitáře na Githubu
- Komentáře k výsledkům testů z toho webu nebo přímo nástroje ednscomp prosím hlaste do DNS Compliance Testing projektu v Gitlabu ISC
{% include supporters.html %}