V minulosti se výrobci DNS softwaru pokoušeli řešit problémy s interoperabilitou DNS protokolu a jeho rozšíření zvaného EDNS (standard RFC 6891) tak, že do svého software dočasně přidávali schopnost přijmout různé nestandardní chování. Bohužel se ukázalo, že tento přístup, tedy přidáváním dočasných „náplastí na problémy“ není dlouhodobě udržitelný, a to především proto, že implementace, které plně nerespektují standardy, zdánlivě fungují a není tedy důvod pouštět se do jejich plnohodnotných oprav. Výsledkem těchto polovičatých řešení je jejich hromadění a ukládání v DNS softwaru, což vede k situaci, kdy je jich už tolik, že samy o sobě začaly způsobovat problémy. Tím nejviditelnějším problémem je pomalejší odpovídání na DNS dotazy a nemožnost nasadit novou funkcionalitu DNS protokolu zvanou DNS Cookies, která by pomohla omezit DDoS útoky založené na zneužití DNS protokolu.
Pozor, změna
Abychom předešli dalšímu zhoršování stavu DNS služeb pro uživatele i operátory, rozhodli jsme se společně se skupinou výrobců DNS softwaru koordinovaně ukončovat podporu některých druhů nestandardních řešení, tedy podporu implementací, které nerespektují standard RFC 6891. Všechna nová vydání DNS softwaru od společností CZ.NIC, ISC, NLnet Labs a PowerDNS nebudou po 1. únoru 2019 obsahovat kód pro obcházení nekompatibilit se standardem RFC 6891.
Náš software Knot Resolver se od svého vzniku drží standardů a ve své výchozí konfiguraci se nepokouší obcházet nekompatiblity způsobené nedodržením těchto standardů. Přesto doporučujeme zkontrolovat vaše servery, a to proto, aby byla zaručena kompatibilita se softwarem všech ostatních výrobců dodržujících platné standardy.
Otestujte své domény a servery
Své domény a autoritativní DNS servery můžete nyní otestovat díky webové aplikace na adrese https://ednscomp.isc.org/ednscomp/. Pokud je výsledkem vašeho testu zelená zpráva „All Ok“, tak jste již připraveni a nemusíte podnikat žádné další kroky. V případě, že je výsledkem cokoliv jiného než „All Ok“, aktualizujte svůj DNS software. Pokud používáte poslední verzi softwaru, obraťte se na jeho výrobce a požadujte po něm opravu. V tomto případě doporučujeme přiložit ke zprávě odkaz na výsledek testu, který obsahuje technické detaily.
Poznámka pro výrobce DNS software
Nic se nemění na tom, že ani nadále nemusí DNS software plně podporovat celý EDNS standard RFC 6891. Všichni výše uvedení výrobci samozřejmě zachovávají podporu pro servery, které se rozhodnou nepodporovat EDNS v souladu se standardem. Hlavní změna v implementaci protokolu tedy je, že nestandardní chování
přestane být tolerováno.
V případě, že se rozhodnete nepodporovat EDNS, je nutné korektně odpovídat na dotazy obsahující EDNS rozšíření v souhladu s RFC 6891 sekce 7, tj. zejména odpovídat korektní DNS zprávou s RCODE=FORMERR. Při implementaci prosím postupujte podle uvedeného RFC. Děkujeme.
Nejdůležitější na závěr
Domény na serverech, které podle výše uvedených testů nejsou v souladu se standardem, nebudou po 1. únoru 2019 fungovat spolehlivě a mohou se stát nedostupnými.
Uvědomujeme si důležitost tohoto jednání a proto o něm chceme informovat co nejvíce lidí, kterých se může dotknout. Na tuto změnu, která začne platit již za méně než jeden rok, budeme soustavně upozorňovat. Pokud máte možnost šířit tyto informace k lidem, kteří mají na starosti sítě a DNS servery, budeme rádi, když pošlete odkaz na tento blogpost dál. Naším cílem je spolehlivě a správně fungující DNS, které se nedá tak snadno zneužívat k útokům.
Aktualizace, 26. března 2018:
Motivace pro tento krok detailně vysvětluje příspěvek na blogu PowerDNS (v angličtině).
Petr Špaček, thank you for this post. Its very inspiring.