Ir al contenido principal

Uso correcto del servicio DNS secundario gratuito

NIC Chile desde hace más de 20 años ha ofrecido el servicio de "Secundario DNS gratuito" para sus clientes. El objetivo siempre fue mejorar la robustez de .CL, ya que disponer de solo 1 NS es demasiado frágil, y este servicio siempre se ha mantenido con los niveles de infraestructura y tiempos de respuesta adecuados a su tiempo.

El uso del servicio ha sido sostenido en el tiempo. Actualmente, más de 30 mil de nuestros clientes lo utilizan! Y con la adición de tecnologías como IPv6, se ha permitido que estos miles de dominios CL tengan presencia en la nueva red.

Sin embargo, no todo es miel sobre hojuelas. Desde los inicios se ha detectado un problema técnico recurrente. El uso de este servicio, si bien es gratuito para clientes de NIC Chile, requiere una configuración técnica especial para que funcione correctamente. Y esta configuración debe ser realizada por quien administre el servicio DNS del dominio (por ejemplo la empresa de hospedaje ("hosting") del sitio web).

El servicio DNS gratuito de NIC Chile lleva el nombre "secundario", porque lo que se ofrece es una copia del dominio en nuestra propia infraestructura, que requiere que el DNS primario sea capaz de entregarnos esa copia, y mantenerla actualizada. Todo esto es parte del protocolo estándar DNS, cualquier DNS moderno lo permite, pero significa crear ciertas instrucciones en ese primario, que está bajo control del cliente y no de NIC Chile, para permitir que nuestro secundario sea capaz de operar.

Lamentablemente existen muchos casos de clientes que por desconocimiento de cómo funciona el DNS, o bien porque les atrae la etiqueta "gratuito" del servicio, lo seleccionan sin preocuparse de configurar el primario. Es así como tenemos del orden de 15 mil dominios (casi el 50%) actualmente en CL que pese a solicitar el servicio, no es posible entregarlo porque el cliente no lo tiene bien configurado. Nosotros no podemos hacer más que insistir de tiempo en tiempo e intentar su activación. Pero no se soluciona sin ayuda del primario.

Además del costo de procesamiento y operacional para NIC Chile, el propio dominio queda "cojo", con uno de sus NS sin poder funcionar. Esto ocasiona eventuales problemas de demora en acceder al dominio, e incluso a detener su funcionamiento completamente.

Hemos detectado que en un alto porcentaje de casos, quienes solicitan el servicio secundario gratuito ya poseen una infraestructura suficiente de DNS para sostener su dominio! Algunos de nuestros clientes incluso utilizan servicios DNS pagados fuera de Chile, con empresas bastante robustas y bien operadas, pero que por alguna razón solicitan igualmente el servicio secundario gratuito, sin preocuparse de configurarlo en los primarios o a veces incluso este primario ni siquiera permite el uso de secundarios externos!

Puede revisar si su dominio está afecto a este problema utilizando nuestra herramienta DoctorDNS. Si aparece en rojo el nombre de servidor "secundario.nic.cl", corrija la configuración de su primario, o bien desactive el servicio secundario gratuito desde el panel de control de su dominio.

La recomendación final es: es mejor no seleccionar nuestro servicio secundario gratuito si no está dispuesto o no sabe configurar el DNS primario. Es mejor tener 2 NS en su dominio que respondan correctamente, que tener 3 con 1 que no funciona; y aunque por supuesto estamos felices de otorgar nuestro servicio si desea tener un tercero, por favor recuerde que debe configurar su primario para que el servicio se de correctamente. Las instrucciones técnicas han estado disponible desde siempre en nuestra documentación:

www.nic.cl/dominios/secundario/configuracion.html

Comentarios

Entradas más populares de este blog

Servicio AS112: atendiendo los reversos de direcciones IP privadas

El uso más común que se le da al servicio DNS es el de "transformar los nombres de dominio en direcciones IP", que permite por ejemplo a los humanos recordar fácilmente una dirección de un sitio web como "www.nic.cl", y dejar que sean las máquinas -mediante el DNS- que lo transformen a una dirección IPv6 como 2001:1398:5::6003, ó 200.7.7.3 en IPv4. Pero no es el único uso del DNS. También existe el llamado "servicio reverso", que como su nombre lo indica, hace lo contrario: transformar una IP en un nombre de máquina. Esto no es usado por los usuarios corrientes, sino por servicios por ejemplo de control de acceso, o registro de logs, etcétera; quienes parten de una dirección IPv6 como 2800:3f0:4003:c00::69 y obtienen como resultado www.google.com. Por otro lado, también existen direcciones IP especiales que se les llama "privadas", o "locales"; que tienen la particularidad que pueden ser usadas libremente por organizaciones en sus

Hora de discontinuar SHA-1 en DNSSEC

Con la introducción de DNSSEC se hizo necesario el manejo de "criptografía asimétrica" en el DNS. Para ello se utilizan diversas tecnologías de seguridad como los clásicos algoritmos RSA y DSA, y otras nuevas que se incorporan a medida que van haciéndose prácticas -como las curvas elípticas el año 2012 -, y por supuesto otras que deben irse dando de baja en la medida de que nuevas técnicas matemáticas y el avance de la capacidad de procesamiento hacen riesgoso su uso.

DNS sobre TLS: privacidad en el DNS

Privacidad en el DNS En el sistema de nombres de dominio (DNS) la información de preguntas y respuestas siempre ha viajado "en plano" por la red. Es decir, sin cifrar. Todo lo que se consulta vía DNS puede ser leído por quienes se encuentren en el camino entre un cliente y su "servidor DNS recursivo", por ejemplo los proveedores de Internet (ISPs) y gente que pueda analizar los paquetes de la red. Desde hace un tiempo que esto se ha visto con preocupación. Siempre se ha dicho que "los datos del DNS son públicos", lo que es cierto, pero lo que alguien esté consultando debiera ser privado. El sitio de alcohólicos anónimos es público, pero debiera ser privado quiénes están consultando por el. Esa es la diferencia. Se ha trabajado desde distintos lados las mejoras de privacidad, en especial desde IETF, el organismo que estandariza los protocolos en Internet. Hay avances en TLS (también conocido como SSL) y por supuesto también en DNS, donde hay varias t