<div dir="auto">🤪</div><br><div class="gmail_quote"><div dir="ltr">El vie., 1 feb. 2019 10:52, Lucimara Desiderá <<a href="mailto:lucimara@cert.br">lucimara@cert.br</a>> escribiĂł:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><a href="https://www.securityweek.com/dns-providers-cease-implementing-dns-resolver-workarounds" rel="noreferrer noreferrer" target="_blank">https://www.securityweek.com/dns-providers-cease-implementing-dns-resolver-workarounds</a><br>
<br>
DNS Providers to Cease Implementing DNS Resolver Workarounds<br>
By Ionut Arghire on January 30, 2019<br>
Tweet<br>
<br>
Starting on February 1, 2019, a number of DNS software and service<br>
providers will cease implementing DNS resolver workarounds for systems<br>
that don’t follow the Extensions to DNS (EDNS) protocol.<br>
<br>
Intended for DNS Flag Day, the switch should solve two major problems<br>
DNS has at the moment due to these workarounds: slower responses to DNS<br>
queries and the difficulty of deploying new DNS protocol features such<br>
as improved distributed denial of service protections.<br>
<br>
Although the Extension Mechanisms for DNS were specified in 1999 to<br>
establish rules for responding to queries with EDNS options or flags,<br>
some implementations continue to violate the rules. To address<br>
interoperability issues, DNS software developers implemented workarounds<br>
for non-standard behaviors.<br>
<br>
“These workarounds excessively complicate DNS software and are now also<br>
negatively impacting the DNS as a whole,” the Internet Systems<br>
Consortium (ISC) points out.<br>
<br>
To address the problem, some organizations have agreed to update their<br>
software or systems to cease implementing said workarounds in software<br>
set to be released around DNS Flag Day. These include ISC (in BIND 9.14<br>
stable), CZ NIC (in Knot Resolver 3.3.0 â€“ it has stricter EDNS handling<br>
in all current versions), NLNET Labs (in Unbound 1.8.4, 1.9.0 and<br>
newer), and PowerDNS (PowerDNS recursor 4.2).<br>
<br>
Organizations supporting the initiative include Cisco, CleanBrowsing,<br>
Cloudflare, Facebook, Google, Quad9, and the aforementioned software<br>
vendors of DNS software and public DNS providers.<br>
<br>
“To ensure further sustainability of the system it is time to end these<br>
accommodations and remediate the non-compliant systems. This change will<br>
make most DNS operations slightly more efficient, and also allow<br>
operators to deploy new functionality, including new mechanisms to<br>
protect against DDoS attacks,” the initiative’s GitHub page reveals.<br>
<br>
This change is expected to have impact on sites operating non-compliant<br>
software only. Internet users with their own domain names will be<br>
affected only indirectly and won’t need to take specific action.<br>
<br>
“Domains served by DNS servers that are not compliant with the standard<br>
will not function reliably when queried by resolvers that have been<br>
updated to the post-Flag Day version, and may become unavailable via<br>
those updated resolvers,” ISC points out.<br>
<br>
Organizations with DNS zones served by non-compliant servers will see<br>
their online presence slowly degrade or disappear when ISPs and other<br>
organizations update their resolvers. Organizations switching internal<br>
DNS resolvers to versions that don’t implement workarounds might<br>
experience issues with sites and email servers becoming unreachable.<br>
<br>
Operators of DNS authoritative systems are advised to check their own<br>
domain at <a href="https://dnsflagday.net/" rel="noreferrer noreferrer" target="_blank">https://dnsflagday.net/</a> to ensure they are EDNS-compliant.<br>
Common issues emerge from firewalls blocking EDNS traffic and old DNS<br>
servers requiring upgrades.<br>
<br>
_______________________________________________<br>
LACNOG mailing list<br>
<a href="mailto:LACNOG@lacnic.net" target="_blank" rel="noreferrer">LACNOG@lacnic.net</a><br>
<a href="https://mail.lacnic.net/mailman/listinfo/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/listinfo/lacnog</a><br>
Cancelar suscripcion: <a href="https://mail.lacnic.net/mailman/options/lacnog" rel="noreferrer noreferrer" target="_blank">https://mail.lacnic.net/mailman/options/lacnog</a><br>
</blockquote></div>