Ir al contenido principal

DNS Flag Day: el fin de los parches provisorios para EDNS

El próximo 1° de febrero de 2019, los cuatro principales proveedores de software para DNS recursivos -Bind, Unbound, PowerDNS y Knot- realizarán un lanzamiento conjunto de nuevas versiones de sus sistemas con una característica en común: el fin de parches provisorios históricos que perdonaban ciertas conductas desviadas del estándar en los servidores DNS autoritativos.

Estas conductas incorrectas según el estándar EDNS ("Extensiones al DNS", disponibles desde 1999 en los RFC2671, actualizado por RFC6891) incluyen la falta de respuesta, encendido de bits incorrectos, demoras en respuesta, etc.; y se suman a ciertos dispositivos en el camino (firewalls, IDS, middleboxes, etc.) que descartan algunos paquetes DNS porque no calzan con la implementacion de DNS que conocen.

Estos problemas fuerzan actualmente a los DNS "resolvers" a implementar una serie de trucos para poder lidiar con muchos casos de borde. Estos trucos ocasionaban un aumento de complejidad en el código de los resolvers (lo que lleva a bugs y efectos no deseados), demora en respuestas y lo más importante, dificultad para la innovación y el desarrollo de nuevas funcionalidades dentro del DNS.

El estándar EDNS ha permitido muchas mejoras en el DNS clásico, entre las que se incluyen:
  • DNSSEC, las extensiones de seguridad
  • NSID, para identificar instancias en nubes anycast
  • client-subnet, para lograr geolocalización
  • keep-alive, para tener sesiones largas que aceleren múltiples consultas
  • cookies, para mejorar la seguridad frente a ataques DoS.
¡y de su correcto funcionamiento depende la robustez y futura extensibilidad del DNS!

Estas organizaciones han dispuesto una página web con más información, y con un método para que se puedan probar los dominios y DNS desde ahora:


Con el cambio del 1 de febrero del próximo año, los resolvers poco a poco comenzarán a fallar para dominios cuyos servidores de nombre incumplan el estándar EDNS.

Recomendamos revisar sus dominios y DNS con la herramienta, ¡y corregir los problemas cuanto antes!

Comentarios

Entradas más populares de este blog

Ahora es más fácil sacarle provecho a tu dominio en .CL

La pandemia ha renovado el impulso al desarrollo de los servicios digitales. No solo las grandes empresas han debido reforzar sus canales de atención y de venta online. También los pequeños emprendedores han encontrado en Internet el medio propicio para llegar a sus clientes. En el dominio .CL hemos sido testigos del aumento de la demanda por inscribir nombres de dominio. Un dominio es, después de todo, la mejor forma de identificarse en Internet y una pieza clave de la imagen digital de cualquier empresa, desde las más pequeñas hasta las más grandes. Una dificultad para usar un nombre de dominio era que hay que invertir en el diseño de un sitio web, así como cubrir el costo del hospedaje en línea. Por este motivo, muchos pequeños emprendedores a veces prefieren mostrar sus productos a través de plataformas web como blogs, por ejemplo, o desde sus canales en redes sociales. Justo a tiempo para ayudarlos, NIC Chile lanzó el 14 de mayo de este año un nuevo servicio gratuito de redir

Routing seguro: instalación de FORT y FRR con RPKI

Una de las principales ventajas de las herramientas de Código Abierto es que permiten bajo licencias de uso acceder a su fuente y modificarla de acuerdo al objetivo de cada plataforma. Asimismo, millones de personas colaboran de manera productiva en la innovación y desarrollo de estas herramientas, lo que se traduce en su rápido avance y genera una constante retroalimentación dentro de la comunidad. Sin embargo, surgen diferentes inquietudes respecto al mundo de Código Abierto, una de ellas es: ¿Puede un proyecto mantener su desarrollo en los próximos 5 o 10 años? Un elemento tranquilizador es que hoy en día se observa que las grandes compañías cada vez se involucran más en las piezas de software construidos en Código Abierto; esta vinculación les permite escalar sus desarrollos tecnológicos a costos más bajos, pudiendo diseñar soluciones a la medida y adaptarlas a sus requerimientos. Estas compañías contribuyen con la comunidad aportando ideas y compartiendo parte de sus experienc

Uso correcto del servicio DNS secundario gratuito

NIC Chile desde hace más de 20 años ha ofrecido el servicio de " Secundario DNS gratuito " para sus clientes. El objetivo siempre fue mejorar la robustez de .CL, ya que disponer de solo 1 NS es demasiado frágil, y este servicio siempre se ha mantenido con los niveles de infraestructura y tiempos de respuesta adecuados a su tiempo. El uso del servicio ha sido sostenido en el tiempo. Actualmente, más de 30 mil de nuestros clientes lo utilizan! Y con la adición de tecnologías como IPv6, se ha permitido que estos miles de dominios CL tengan presencia en la nueva red . Sin embargo, no todo es miel sobre hojuelas. Desde los inicios se ha detectado un problema técnico recurrente. El uso de este servicio, si bien es gratuito para clientes de NIC Chile, requiere una configuración técnica especial para que funcione correctamente. Y esta configuración debe ser realizada por quien administre el servicio DNS del dominio (por ejemplo la empresa de hospedaje (" host