14.03.2019 15:55

DNS Flag Day am 01.02.2019

Am Freitag, 01.02.2019 ist DNS Flag Day. Aber um welche "Flag" geht es hier? Ab diesem Tag wird eine Reihe großer DNS-Anbieter, darunter Google und Cloudflare, und alle großen Anbieter von opensource rekursiver DNS Software, darunter BIND und unbound, aufhören Workarounds einzusetzen, um mit Domains kommunizieren zu können, die den EDNS0 Standard (RFC 6891) nicht erfüllen.

Don't Panic -- die erste Version dieses Standards (RFC 2671) wurde 1999 veröffentlicht, d.h. wenn Sie Ihre DNS-Server aktuell halten, werden diese den Flag Day problemlos überstehen.

Allerdings ist nicht die dedizierte DNS-Software der Grund für den Flag Day; gröbere Probleme bereiten andere Applikationen, allen voran Firewalls. Manche von Ihnen droppen in der Standardeinstellung Pakete, die einen OPT RR für EDNS0 oder andere Erweiterungsoptionen enthalten, oder auch solche, die größer als 512 Byte sind. Zusätzlich wird die Verbindung via TCP manchmal vollständig abgelehnt, was z.B. das Verwenden von DNSSEC (RFC 4033) unmöglich macht. Diese Verhaltensweisen sind nicht standardkonform und sollten daher korrigiert werden, um eine reibungslose Einbindung der eigenen Zonen in das Internet-weite DNS zu ermöglichen. Bisher versuchten viele Resolver, diese Schwierigkeiten zu überwinden, indem sie z.B. Queries nicht nur wiederholten, sondern auch veränderten. Dadurch sollte ermittelt werden, ob eine Query nicht beantwortet wurde, weil das Paket verloren gegangen, oder einfach am Ziel verworfen worden war. Dieses Ausprobieren kostete nicht nur Zeit und Rechenleistung, sondern erforderte auch, dass große Mengen an zusätzlicher Logik in den Code der Resolver eingebaut und gewartet werden mussten. Ab dem 01.02.2019 soll damit Schluss sein und es ist davon auszugehen, dass künftig Anfragen an nichtkonforme Zonen stark verzögert werden oder in ein Timeout laufen.

CERT.at hat in Zusammenarbeit mit dem ZID der Universität Wien alle .at-Domänen getestet und Warnungen an jene Name-Server-Betreiber*innen geschickt, deren Infrastruktur nach dem Flag Day für viele Internetnutzer*innen nicht mehr erreichbar sein wird. Wenn Sie keine E-Mail von uns erhalten haben, können Sie davon ausgehen, dass die von Ihnen verwalteten Domänen nach dem 01. Februar keine großen Probleme haben werden.

Für optimale Performanz empfehlen wir aber dennoch, den Test auf der Webseite des DNS Flag Days selbst durchzuführen, da dieser wesentlich mehr testet als nur EDNS0 Konformität. Falls Sie beim Testen kein grünes "All Ok!" erhalten, sollten Sie dem dort angegebenen Link zum technischen Bericht des EDNS Compliance Tester des Internet Systems Consortium folgen und die aufgelisteten Probleme beheben. Danach ist Ihre DNS-Infrastruktur nicht nur für den DNS Flag Day gerüstet, sondern wird auch mit zukünftigen Neuerungen im DNS korrekt umgehen können.


This blog post is part of a series of blog posts related to our CEF-Telcom-2016-3 project, which also supports our participation in the CSIRTs Network.

Autor: Dimitri Robl