Мир до и после. Как изменится жизнь с наступлением DNS Flag Day
Что случится с наступлением DNS Flag Day? Этот вопрос сегодня активно обсуждается в Рунете. Есть основания полагать, что большинство государственных сайтов и других веб-ресурсов могут стать недоступными. Это произойдет в том случае, если DNS-серверы окажутся неготовыми отвечать на запросы EDNS. Но согласно уверениям экспертов, особых сложностей возникнуть не должно. К тому же проведенное исследование по ситуации в российских национальных доменных зонах .ru и .рф показывает радужные результаты — процент DNS-серверов, некорректно отвечающих на запросы по обновленной схеме, крайне невелик. Проблема возникнет у тех компаний, которые не поторопились обновить собственные DNS-серверы, проигнорировав всевозможные предупреждения.
Чем не угодил старый добрый DNS
Протокол DNS действительно довольно старый. Его придумали в начале 80-х годов и в условиях современной жизни он давно перестал отвечать требованиям времени. Очевидно, что система доменных имен требует развития и не может оставаться в первозданном виде. Протокол имеет множество проблем, с которыми давно столкнулись производители программного обеспечения.К тому же по сей день остаются не решенными отдельные вопросы безопасности, да и многие функции, которые требовалось реализовать, до сих пор не реализованы. Большое количество DNS-серверов до сих пор не поддерживают необходимые требования в работе с современными информационными системами, что является барьером к принятию новых технологий. И хотя возможности DNS пытались как-то расширить, это ровным счетом не сильно повлияло на текущую ситуацию.
Какие изменения происходили? В 1999 году придумали расширение EDNS0, благодаря которому работает механизм DNSSEC. Если кратко, DNSSEC умеет вычислять «подмену», то есть узнавать, кто ответил на DNS-запрос: легитимный источник либо же кто-то другой, не имеющий к нему никакого отношения. Это хоть и стало некой подвижкой к переменам, но в целом не решило всех проблем.
Борьба с молчунами
Первым, что было принято сделать — избавиться от молчунов в виде серверного ПО и файерволов, которые не поддерживают EDNS. Дело в том, что, когда поступает такого рода запрос, должен прийти обратный ответ. И если этого не происходит, соединение начинает висеть до тех пор, пока не истечет по таймауту. Дальше клиент отправляет повторный запрос без EDNS-флага. И если DNS-сервер работает по старинке, то есть не поддерживает расширенную версию протокола DNS, он ответит положительно. На этот процесс может уйти порядка 5–10 секунд, что довольно расточительно. От такого архаизма решили отойти и в новых версиях ПО повторные запросы без EDNS больше не отправляются. То есть теперь серверы будут работать в режиме «без права на ошибку». Если не ответил с первого раза, значит запрашиваемый ресурс будет недоступен. Такая схема работы протокола вступит в силу 1 февраля 2019 года.
Кто придумал новые правила игры? Главные DNS-провайдеры и ведущие игроки в лице Google, Cisco, CloudFlare и прочих компаний стали инициаторами грядущих перемен. Они запланировали глобальное обновление системы доменных имен, обозначив этот день в календаре как DNS Flag Day. Кстати первые заявления о планируемой смене протокола были сделаны в марте 2018 года. Уже тогда общественность проинформировали о переходе на новую схему работы службы DNS.
Немного аналогии
Для лучшей наглядности изменений, которые произойдут с наступлением DNS Flag Day, проведем аналогию. Включите воображение!
Представьте, что до 1999 года люди не могли использовать пластиковые карты для оплаты товаров в супермаркете. Расплачивались только бумажными деньгами. С наступлением 1999 года произошли изменения и магазины стали принимать электронные платежи.
При этом остались отдельные пункты продаж, которые до сих пор не работают с пластиковыми носителями. Но узнать об этом можно только на кассе. Согласитесь, такие сюрпризы мало приятны. Идешь себе довольный с полной тележкой товара и золотой картой, а расплатиться в итоге не можешь, просто потому, что не успел снять наличные.
Таким образом, EDNS — это супермаркет, принимающий современные способы оплаты, а DNS- устаревший магазин, работающий только с бумажными деньгами. С наступлением 1 февраля 2019 года последние перестанут функционировать. Аналогично и с DNS-серверами. Если отсутствует поддержка расширения ENDS, такие DNS-сервисы перестанут сопоставлять имена с IP-адресами ресурсов, которые в итоге станут недоступны.
Нет повода для паники
Несмотря на распространяемые страшилки, паниковать не стоит. Большинство DNS-провайдеров уже обновили собственное ПО, поэтому для многих компаний наступление DNS Flag Day пройдет незаметно. Для остальных, кто оставил собственные DNS-серверы без обновлений, наступит ожидаемый эффект: сайты, DNS-записи которых обслуживает устаревший DNS-сервер, перестанут открываться.
Кстати, проверить любой ресурс (доменное имя) на доступность можно с помощью сайта https://dnsflagday.net. Здесь также можно подробнее узнать о процедуре проверки и воспользоваться рекомендациями по дальнейшим действиям.
В случае успешного теста, вы увидите зеленый индикатор и искреннюю благодарность DNS-администратору, который хорошо потрудился! Компания «ИТ-ГРАД» готова к DNS Flag Day. А как обстоят дела у вас?
Полный текст статьи читайте на Компьютерра