Мир до и после. Как изменится жизнь с наступлением DNS Flag Day

Что случится с наступлением DNS Flag Day? Этот вопрос сегодня активно обсуждается в Рунете. Есть основания полагать, что большинство государственных сайтов и других веб-ресурсов могут стать недоступными. Это произойдет в том случае, если DNS-серверы окажутся неготовыми отвечать на запросы EDNS. Но согласно уверениям экспертов, особых сложностей возникнуть не должно. К тому же проведенное исследование по ситуации в российских национальных доменных зонах .ru и .рф показывает радужные результаты – процент DNS-серверов, некорректно отвечающих на запросы по обновленной схеме, крайне невелик. Проблема возникнет у тех компаний, которые не поторопились обновить собственные DNS-серверы, проигнорировав всевозможные предупреждения.

Чем не угодил старый добрый DNS

Чем не угодил старый добрый DNS

Протокол DNS действительно довольно старый. Его придумали в начале 80-х годов и в условиях современной жизни он давно перестал отвечать требованиям времени. Очевидно, что система доменных имен требует развития и не может оставаться в первозданном виде. Протокол имеет множество проблем, с которыми давно столкнулись производители программного обеспечения.К тому же по сей день остаются не решенными отдельные вопросы безопасности, да и многие функции, которые требовалось реализовать, до сих пор не реализованы. Большое количество DNS-серверов до сих пор не поддерживают необходимые требования в работе с современными информационными системами, что является барьером к принятию новых технологий. И хотя возможности DNS пытались как-то расширить, это ровным счетом не сильно повлияло на текущую ситуацию.

Какие изменения происходили? В 1999 году придумали расширение EDNS0, благодаря которому работает механизм DNSSEC. Если кратко, DNSSEC умеет вычислять «подмену», то есть узнавать, кто ответил на DNS-запрос: легитимный источник либо же кто-то другой, не имеющий к нему никакого отношения. Это хоть и стало некой подвижкой к переменам, но в целом не решило всех проблем.

Борьба с молчунами

Первым, что было принято сделать – избавиться от молчунов в виде серверного ПО и файерволов, которые не поддерживают EDNS. Дело в том, что, когда поступает такого рода запрос, должен прийти обратный ответ. И если этого не происходит, соединение начинает висеть до тех пор, пока не истечет по таймауту. Дальше клиент отправляет повторный запрос без EDNS-флага. И если DNS-сервер работает по старинке, то есть не поддерживает расширенную версию протокола DNS, он ответит положительно. На этот процесс может уйти порядка 5-10 секунд, что довольно расточительно. От такого архаизма решили отойти и в новых версиях ПО повторные запросы без EDNS больше не отправляются. То есть теперь серверы будут работать в режиме «без права на ошибку». Если не ответил с первого раза, значит запрашиваемый ресурс будет недоступен. Такая схема работы протокола вступит в силу 1 февраля 2019 года.

Борьба с молчунами

Кто придумал новые правила игры? Главные DNS-провайдеры и ведущие игроки в лице Google, Cisco, CloudFlare и прочих компаний стали инициаторами грядущих перемен. Они запланировали глобальное обновление системы доменных имен, обозначив этот день в календаре как DNS Flag Day. Кстати первые заявления о планируемой смене протокола были сделаны в марте 2018 года. Уже тогда общественность проинформировали о переходе на новую схему работы службы DNS.

Реклама на Компьютерре

Немного аналогии

Немного аналогии

Для лучшей наглядности изменений, которые произойдут с наступлением DNS Flag Day, проведем аналогию. Включите воображение!

Представьте, что до 1999 года люди не могли использовать пластиковые карты для оплаты товаров в супермаркете. Расплачивались только бумажными деньгами. С наступлением 1999 года произошли изменения и магазины стали принимать электронные платежи.

Немного аналогии

При этом остались отдельные пункты продаж, которые до сих пор не работают с пластиковыми носителями. Но узнать об этом можно только на кассе. Согласитесь, такие сюрпризы мало приятны. Идешь себе довольный с полной тележкой товара и золотой картой, а расплатиться в итоге не можешь, просто потому, что не успел снять наличные.

Таким образом, EDNS – это супермаркет, принимающий современные способы оплаты, а DNS- устаревший магазин, работающий только с бумажными деньгами. С наступлением 1 февраля 2019 года последние перестанут функционировать. Аналогично и с DNS-серверами. Если отсутствует поддержка расширения ENDS, такие DNS-сервисы перестанут сопоставлять имена с IP-адресами ресурсов, которые в итоге станут недоступны.

Нет повода для паники

Нет повода для паники

Несмотря на распространяемые страшилки, паниковать не стоит. Большинство DNS-провайдеров уже обновили собственное ПО, поэтому для многих компаний наступление DNS Flag Day пройдет незаметно. Для остальных, кто оставил собственные DNS-серверы без обновлений, наступит ожидаемый эффект: сайты, DNS-записи которых обслуживает устаревший DNS-сервер, перестанут открываться.

Кстати, проверить любой ресурс (доменное имя) на доступность можно с помощью сайта https://dnsflagday.net. Здесь также можно подробнее узнать о процедуре проверки и воспользоваться рекомендациями по дальнейшим действиям.

Нет повода для паники

В случае успешного теста, вы увидите зеленый индикатор и искреннюю благодарность DNS-администратору, который хорошо потрудился! Компания «ИТ-ГРАД» готова к DNS Flag Day. А как обстоят дела у вас?