LINUX.ORG.RU

С 01.02.2019 серверы имён, не поддерживающие EDNS, станут недоступны

 


8

7

С первого февраля 2019 года ответы от серверов имён не поддерживающих RFC 6891 будут считаться нелегитимными. Как написано на сайте DNS flag day, публичные резолверы уберут «костыли» необходимые для взаимодействия со «сломанными» серверами.

Такое решение принято в связи с тем, что необходимость поддержки обратной совместимости со старыми серверами мешает внедрению механизмов расширения для DNS. С февраля крупнейшие публичные DNS резолверы не будут принимать трафик от устаревших DNS.

Ближе к дате будут выпущены версии резолверов, в которых так же ужесточены требования к протоколу, это:

  • BIND 9.13.3 и 9.14.0
  • PowerDNS Recursor 4.2.0
  • Unbound 1.9.0

По мере обновления резолверов, ваш сайт может стать недоступным. Проверить, соответствует ли ваш сайт новым требованиям можно на сайте, посвящённому событию.

PS «linux.org.ru All Ok!»

>>> Подробности

★★★

Проверено: jollheef ()

Проверил, все рабочие сайты в норме.

Gonzo ★★★★★ ()

соответствует ли ваш сайт новым требованиям

сайт или сервер, на котором он хостится?

anonymous ()

cat-v.org: Minor problems detected!

Вот это проблема. Нужно сделать зеркало сайта.

commagray ★★★★★ ()
Ответ на: комментарий от commagray

Вот это проблема. Нужно сделать зеркало сайта.

О... Ептыть! 9front в опасности!

AUX ★★ ()

Проверил, ошибка. Сменил tinydns на tinydnssec, не помогло. Сменил на nsd, остался error, что запрещен TCP. Разрешил TCP на файрволле, стало

Test cannot be evaluated because of an error.
Please make sure the domain name entered refers to a DNS zone,
i.e. use "example.com" instead of "www.example.com".
Retry the test to eliminate random network failures or investigate

Запретил обратно, та же «ошибка». Что это за дурь и что с ней теперь делать? Спасибо, блин, за подробности.

t184256 ★★★★★ ()
Последнее исправление: t184256 (всего исправлений: 1)

nserver: dns1.yandex.net.
nserver: dns2.yandex.net.
Minor problems detected!

WinLin2 ()

Что это даст в итоге? Всё будет работать быстрее с 1 февраля?

Быстрее за счёт того, что часть мирового трафика отвалится, лол :)

th3m3 ★★★★★ ()

А когда было официально заявлено, что 1 февраля 2019 deadline?

greenman ★★★★★ ()
Последнее исправление: greenman (всего исправлений: 1)

А чего их не устроило в «устаревших» DNS?
Недостаточно места, чтоб хлама в протокол запихать?

devl547 ★★★★★ ()

Если уж давать ссылку для проверки, так на первоисточник: https://ednscomp.isc.org/ednscomp. Там вменяемую диагностику выдают, а не красножёлтозелёные значёчки для дебилов.

KOHb-TPOJIJIbJIEP ()

1 февраля собираются выпустить патчи к BIND и Unbound, убирающие костыли.

А когда публичные DNS у себя их задеплоят - это еще бабка надвое сказала.

В RHEL7 вон до сих пор BIND 9.9 - сидят и в ус не дуют.

bigbit ★★★★★ ()
Ответ на: комментарий от KOHb-TPOJIJIbJIEP

Если приглядеться - то и на указанном домене есть ссылка на диагностику.

Dimez ★★★★★ ()
Ответ на: комментарий от devl547

Всё замечательно, любители msdns и антикварных центосей должны сосать и плакать, плакать и сосать.

Я бы msdns вообще забанил в интернетах до решения проблемы с невалидными символами.

steemandlinux ★★★★★ ()
Последнее исправление: steemandlinux (всего исправлений: 2)
Ответ на: комментарий от Dimez

Если приглядеться - то и на указанном домене есть ссылка на диагностику.

С NoScript оно эту самую диагностику для введённого в поле домена и открывает.

h578b1bde ★☆ ()
Ответ на: комментарий от bigbit

В RHEL7 вон до сих пор BIND 9.9 - сидят и в ус не дуют.

Сделай yum update

imul ★★★★★ ()
Ответ на: комментарий от steemandlinux

Вот результат с «антикварного центося»:
EDNS Compliance Tester
Checking: 'xxx.xx' as at 2019-01-20T17:36:11Z
xxx.xx. @aaa.bbb.cc.dd (ns1.xxx.xx.): dns=ok edns=ok edns1=ok edns@512=ok ednsopt=ok edns1opt=ok do=ok ednsflags=ok docookie=ok edns512tcp=ok optlist=ok
All Ok
Codes
ok - test passed.

imul ★★★★★ ()
Ответ на: комментарий от steemandlinux

А твой сервер превратится в тыкву 1 февраля? (комментарий)
Ситуация чуть сложнее, чем кажется на первый взгляд. Вот у камрада локально тоже всё Ок оказалось, а онлайн тестер показывает фейлы. То есть вносят вклад ещё и куча кривых маршрутизаторов.

imul ★★★★★ ()

Уточнение - не «серверы имён не поддерживающие EDNS» станут недоступны, а серверы, «отмалчивающиеся» на EDNS-запросы.

Поддержка EDNS не является обязательной, и, если сервер это не поддерживает, он обязан ответить на такой запрос кодом FORMERR. И это штатная ситуация. Насколько я понял, BIND 9.9.4 в RHEL7 так и делает.

А вот некоторые сервера на EDNS-запросы не отвечают вообще, т.е. происходит тайм-аут. Вот у этих серверов будут проблемы.

Из кода уберут кусок, который при тайм-ауте пытается повторить запрос без EDNS. Т.е. тайм-аут будет трактоваться именно как тайм-аут (недоступность сервера), а не как то, что сервер, возможно, не поддерживает EDNS.

bigbit ★★★★★ ()
Последнее исправление: bigbit (всего исправлений: 2)

С первого февраля 2019 года ответы от серверов имён не поддерживающих RFC 6891 будут считаться нелегитимными.

Ох, класс, а то давно ничего не запрещали и не ломали. Почему мой сервер, который отдает полторы A-записи, должен поддерживать шнягу для васянов, которой я в реальности никогда не видел? Почему не считать нелегитимными ответы на эти расширенные запросы как минимум? Кому вообще нафиг понадобилось там что-то менять? Какие реальные изменения произошли в системе DNS за последние, скажем, 10 лет?

micronekodesu ★★ ()
Ответ на: комментарий от micronekodesu

которой я в реальности никогда не видел

теперь увидишь

imul ★★★★★ ()
Ответ на: комментарий от imul

Не думаю - это какая-то инновация ради инновации, если бы расширение было бы реально кому-то нужно - это бы давно использовали, а вместо этой новости была бы строчка в чейнджлоге пакетов серверов, дескать "вот наконец-то мы депрекейтнули старые сервера, да, уже последние 25 лет нет ни одного запроса к серверам без поддержки новых расширений, но мы думали вдруг чего".

micronekodesu ★★ ()
Ответ на: комментарий от micronekodesu

Лень комментировать. Мне только одно интересно — зачем держать свой NS ради «полутора» A записей? Есть ещё какие-то ресурсные записи помимо А которые не умеет регистратор? Хитрая динамика? Участие в ботнете для ddos AXFR-ами?

imul ★★★★★ ()
Ответ на: комментарий от micronekodesu

Почему не считать нелегитимными ответы на эти расширенные запросы как минимум?

Как я понимаю, нелегетимным будет считаться неответ. По новым правилам, если твой сервер не поддерживает EDNS, он должен явно об этом сказать в ответе, а не молча дропнуть запрос.

MozillaFirefox ★★★★ ()
Последнее исправление: MozillaFirefox (всего исправлений: 2)
Ответ на: комментарий от imul

Зачем держать свой почтовый сервер, когда можно завести ящик в гуголе? Зачем держать свой сайт-визитку когда есть github-pages и ucoz?

micronekodesu ★★ ()
Ответ на: комментарий от MozillaFirefox

Ну я смотрю по новости - "ответы от серверов имён не поддерживающих RFC 6891 будут считаться нелегитимными". То есть на сколько я понимаю если мой сервер не поддерживает новый RFC, то все ответы от него по дефолту будут считаться нелегитимными. При этом "неподдержка" проявляется как раз таки по дропу или таймауту, если сервер ответил "я это не поддерживаю" - считается что он его поддерживает. Как там это на самом деле работает я хз, но по описанию кажется что так.

micronekodesu ★★ ()
Ответ на: комментарий от micronekodesu

И зачем тогда визжать на форуме по поросячьи?

imul ★★★★★ ()

Решили сломать интернет и убрать все необновленные сайты из доступа?
Вот так выкатывать несовместимость на весь интернет ещё и за один месяц это вообще как??! Примерно как «завтра все не SPDY сайты отключатся».

В общем, рассматриваю это как ещё одну атаку больших корпораций (которые, как известно, главный источник зла в этом мире): https://www.ncta.com/sites/default/files/platform-images/wp-content/uploads/2...

anonymous ()
Ответ на: комментарий от anonymous

ещё и за один месяц

С чего вы взяли, что за месяц? Вот статья чуть ли не годичной давности. Вот в мае рассылка была.

Если узнавать о таких вещах лишь с истеричных статей в духе «всё сломается, аааааа!!! и не забудьте купить нашу циско амбрелла» с Хабра, то да, будете узнавать за месяц.

MozillaFirefox ★★★★ ()
Последнее исправление: MozillaFirefox (всего исправлений: 2)

Модераторов прошу поправить заголовок. Поддержка EDNS все еще необязательна, запрещают неправильную поддержку или фильтрацию. Если сервер имен не поддерживает EDNS0, то он обязан отвечать на запросы, содержащие псевдозапись OPT, кодом ошибки FORMERR. Если он вообще не отвечает, да, он сломается.

AEP ★★★★★ ()
Ответ на: комментарий от AEP

Да, ты прав. Надо :s/EDNS/RFC6891/

Номер стандарта здесь будет корректней его названия.

mogwai ★★★ ()
Последнее исправление: mogwai (всего исправлений: 1)
Ответ на: комментарий от bigbit

Из кода уберут кусок, который при тайм-ауте пытается повторить запрос без EDNS. Т.е. тайм-аут будет трактоваться именно как тайм-аут (недоступность сервера), а не как то, что сервер, возможно, не поддерживает EDNS.

И они это выдают за оптимизацию?

Тайм-аут ведь уже означает, что что-то пошло не так. С современными сайтами его не должно возникнуть, а тот, который затупил, не богопротивно дёрнуть ещё раз.

hobbit ★★★★★ ()
Ответ на: комментарий от hobbit

а тот, который затупил, не богопротивно дёрнуть ещё раз

запросом с EDNS, на который сервер опять не ответит… и опять его спрашивать?

mogwai ★★★ ()
Последнее исправление: mogwai (всего исправлений: 1)
Ответ на: комментарий от hobbit

Меньше ожиданий таймаутов - быстрее работа сети

anonymous ()

Проверил свой хостинг.

Serious problem detected!

This domain will face issues after the 2019 DNS flag day. It will work in practice, BUT clients will experience delays when accessing this domain

Что теперь делать с этой страшилкой?

tnemo ()
Ответ на: комментарий от tnemo

у меня тоже Serious problem detected!

This domain will face issues after the 2019 DNS flag day. It will
work in practice, BUT clients will experience delays when
accessing this domain. We recommend you request a fix
from your domain administrator! You can refer them to
https://dnsflagday.net/
что делать? У меня на этом домене сервер, крик испуганного хомечка

Talnah ()
Ответ на: комментарий от tnemo

Обновлять DNS сервер, который зону обслуживает. Или долбить техподдержку, чтобы обновили.

mogwai ★★★ ()
Ответ на: комментарий от tnemo

Что теперь делать с этой страшилкой?

Обратись в техподдержку своего хостинга.
Talnah, тебе тоже в техподдержку.

imul ★★★★★ ()
Последнее исправление: imul (всего исправлений: 1)

Написал в саппорт. Посмотрим что скажут

tnemo ()
Ответ на: комментарий от imul

Вот результат с «антикварного центося»:

...

ok - test passed.

это, видимо, седьмой центос у тебя. он очень даже свежий.

crypt ★★★★★ ()
Ответ на: комментарий от steemandlinux

оставь свои влажные фантазии себе на вечер. под центос просто пересобираешь пакет bind из федоры и все.

crypt ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.