DNS Flag Day — плановое обновление инфраструктуры и ПО, связанного с обработкой DNS-запросов, которое вступит в силу 1 февраля 2019 года. Инициатором проекта стали ключевые DNS-провайдеры и производители (Google, CloudFlare, Cisco). Причиной — желание искоренить устаревшее оборудование и технологии.

Что намерены менять

Систему DNS часто называют «телефонной книгой интернета». Именно ее работа позволяет нам получать доступ к сайтам, прописывая лишь домены, а не соответствующие IP-адреса. Функционирование DNS поддерживает слаженная иерархическая работа DNS-серверов — при загрузке каждой страницы заняты 4 таких устройства.

Протокол DNS разработали еще в 80-х годах, со временем ему потребовались улучшения. Расширенная версия стандарта называется EDNS, работа над ней ведется с 1999 года. Но некоторые сайты по-прежнему поддерживают только DNS-протокол.

Сейчас доступ к ним реализован через обратную совместимость: сначала пользовательский клиент отправляет запрос с EDNS-флагом, а если не получает ответ — без такой маркировки.

В результате, ресурс загружается дольше. Устаревший стандарт также открывает дорогу атакам DNS amplification и DNS flood, объяснил технический директор издательского дома «Комитет» Илья Чекальский.

Что произойдет после 1 февраля

Коротко говоря — сайты, чьи сервера не поддерживают EDNS, не будут открываться.

Подробно грядущие изменения описал бизнес-консультант по безопасности Cisco Андрей Лукацкий в тексте для Habr.com:

С 1 февраля не поддерживающие стандарт EDNS сервера будут недоступны и попасть на них будет невозможно. Будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound, которое будет принимать только соответствующий стандарту EDNS трафик.

Трафик со старых и необновленных серверов будет рассматриваться как нелегитимный и эти сервера обслуживаться не будут, что может привести к недоступности доменов, которые «висят» на этих серверах.

К счастью, это не должно массово ударить по интернет-инфраструктуре — серверов без поддержки EDNS осталось не более 10% от общего числа.

Как проверить свой ресурс

Для проверки запущен сайт dnsflagday.net. Если индикатор на нем загорится красным — сайт прекратит корректную работу после 1 февраля.

Желтый цвет указывает, что последний стандарт DNS-протокола не поддерживается, а у хакеров есть шансы на успешную атаку. Зеленый цвет — отсутствие проблем и потенциальных уязвимостей.

 DNS Flag Day

Также на dnsflagday.net размещены ресурсы и инструкции по обновлению инфраструктуры и ПО.

Как показала проверка AIN.UA, большинство украинских официальных порталов готовы к DNS Flag Day. «Серьезные ошибки» найдены лишь на сайте Министерства молодежи и спорта Украины — остальные полностью обновлены или требуют незначительных доработок.

Напомним, ранее AIN.UA сообщал, что CloudFlare запустил собственный DNS-ресолвер.