DNS Flag Day對域名解析的影響
DNS Flag Day是由Google、ISC(BIND)、PowerDNS、思科、Cloudflare等諸多國際知名DNS服務提供商聯(lián)合發(fā)起的一項關(guān)于不再繼續(xù)采取 “EDNS error workaround”措施的活動。
這是一項針對授權(quán)DNS的、共識性的全球更新,旨在確保所有主要DNS基礎(chǔ)架構(gòu)都遵循新的EDNS標準(DNS擴展機制)。
DNS Flag Day是針對DNS協(xié)議的擴展協(xié)議標準(簡稱EDNS)的規(guī)范,在原來DNS協(xié)議基礎(chǔ)上補充擴展,以方便增加拓展DNS附加功能。比如dnssec,這個是在原來DNS基礎(chǔ)上增加的新功能。
DNS Flag Day 背景
EDNS是對DNS協(xié)議的擴展補充(RFC6891),比如DNSSEC,Client Sub net,支持大于 512 字節(jié)DNS響應等都是通過EDNS(Version=0)來實現(xiàn)擴展支持的。但是一直以來,很多DNS的權(quán)威域名服務器不能規(guī)范的處理EDNS擴展,導致類似google、BIND等公司或軟件需要針對不能正確處理EDNS request的NS服務器再次發(fā)起不包含EDNS opt的請求(EDNS error workaround)來獲得最終解析結(jié)果,雖然可以通過這種做法獲得解析結(jié)果但這導致了DNS解析方面會存在很大的延遲。
DNS Flag Day會造成什么影響?
在 2019 年 2 月 1 日后,對于不支持EDNS協(xié)議的授權(quán)DNS服務器,將會被Google、Cloudflare、Cisio/OpenDNS、ISC/BIND等公共DNS、遞歸DNS標記為服務不可用,從而導致域名無法正常解析。
不正確處理EDNS請求,將可能導致實施了“DNS Flag Day”的public dns服務商無法獲取正確解析結(jié)果。
EDNS目前依然不是強制支持項,企業(yè)可能本來就拒絕EDNS,同時也不會全球所有的public dns都會實施 DNS Flag Day,根據(jù)企業(yè)的解析來源屬性不同,以及企業(yè)所用的DNS系統(tǒng)對RFC6891 標準遵從性不同(The software does not need to support EDNS(0) extensions but must respond correctly when asked according to EDNS standard section 7),影響結(jié)果可能不會那么大,但還是需要注意目前ISC,google,cloudflare都明確表示會執(zhí)行,因此可以預見越來越多的Public DNS會執(zhí)行上述行為。
如何驗證域名是否受影響?
如需驗證你當前DNS解析服務商是否符合規(guī)范,請訪問如下網(wǎng)站進行檢測:https://dnsflagday.net
如果不符合規(guī)范,檢測結(jié)果將會出現(xiàn)“STOP”信息。