Systém doménových jmen (DNS) se pomalu vzpamatovává z výměny root klíče pro DNSSEC. V době psaní tohoto článku, nejsou známy žádné významné problémy, které by tato změna způsobila. To je i pro naši českou národní doménu velmi dobře, protože každou druhou doménu máme DNSSECem zabezpečenou. Situace je horší se zaváděním IPv6 (jedná se o celosvětový problém, viz přednáška Geoffa Hustona Is IPv6 only for the Rich? na letošním RIPE 76).
DNS64
Nicméně, zkusme si na chvíli představit, že chceme mít určité služby a nebo dokonce celou kancelář IPv6-only. Motivací může být několik, i když v současné době pravděpodobně nejsou příliš silné:
- nechceme si připlácet za IPv4 adresy,
- nechceme konfigurovat jak IPv4 tak IPv6, protože tím roste složitost a náchylnost k chybám,
- budujeme interní infrastrukturu, kde může být výhodné mít spíše filtrovanou IPv6 než IPv4 NATované rozsahy,
- chceme otestovat, kde všude nám chybí IPv6 a nebo kde je špatně nakonfigurovaná.
V průběhu budování takové IPv6-only sítě pravděpodobně zjistíme, že existuje určité (dle konkrétních požadavků různě velké) množství služeb, které protokol IPv6 neimplementují. Možných řešení je několik:
- DNS64+NAT64
- 464XLAT
- HTTP a HTTPS proxy
Nás z hlediska DNSSECu bude zajímat právě první možnost a to konkrétně její část DNS64. Ta má na starosti DNS překlad pro záznamy, které mají pouze IPv4 adresu. V tomto případě DNS64 vytváří neexistující IPv6 záznam využívající NAT64, který se již postará o zbytek překladu pro konkrétní IPv4-only službu. DNS64 samozřejmě nemá možnost doplnit chybějící DNSSEC podpisy a proto tyto záznamy budou nevalidní.
DNS64-nekompatibilní domény
Přechodový mechanismus DNS64+NAT64 tedy není možné použít pro domény, které jsou zabezpečeny DNSSECem. Před dvěma lety napsala Jen Linkova článek Let’s talk about IPv6 DNS64 & DNSSEC, kde analyzovala, kolik takovýchto nekompatibilních domén je v prvním milionu světově nejčastěji navštěvovaných doménách (podle serveru Alexa).
Za dva roky se ovšem mohlo hodně změnit a proto jsem analýzu v srpnu 2018 opakoval a zároveň připojil analýzu pro naší TLD .CZ.
| Alexa 1M 2016 * | Alexa 1M 2018 | .CZ 2018 | |
|---|---|---|---|
| Počet domén | 1 000 000 | 1 000 000 | 1 294 217 |
| IPv6 | 5.7 % | 18.0 % | 30.2 % |
| DNSSEC | 1.7 % | 6.1 % | 52.6 % |
| IPv4-only | 94.3 % | 79.5 % | 63.1 % |
| DNS64-nekompatibilní | 1.3 % | 1.5 % | 34.0 % |
* Pro rok 2016 vycházím ze statistiky Jen Linkové.
Závěr
Z dat a grafu je patrné, že počet domén zabezpečených DNSSECem a domén, které podporují protokol IPv6 roste podobně, i když DNSSEC se zavádí malinko rychleji a proto mírně roste i počet DNS64-nekompatibilních domén. Pro naši národní doménu, ale platí, že zavádění DNSSECu výrazně předbíhá zavádění IPv6 a tedy každá třetí doména s koncovkou .CZ není kompatibilní s přechodovým mechanismem DNS64.
To neznamená, že bychom měli na DNSSEC zanevřít, ale spíše nás to může motivovat k větší snaze o implementaci protokolu IPv6 a nebo k výběru jiného přechodového mechanismu než je NAT64+DNS64.
Na straně sítě to lze „řešit“ tak, že DNS64 substituci dělá až poslední validující resolver. Chápu ale že to nemusí být praktické, zvlášť pokud chceme validaci dostávat i co nejblíže ke klientům (třeba přímo do nich).