DNS Flag Day对域名解析的影响
dns flag day是由google、isc(bind)、powerdns、思科、cloudflare等诸多国际知名dns服务提供商联合发起的一项关于不再继续采取 “edns error workaround”措施的活动。
这是一项针对授权dns的、共识性的全球更新,旨在确保所有主要dns基础架构都遵循新的edns标准(dns扩展机制)。
dns flag day是针对dns协议的扩展协议标准(简称edns)的规范,在原来dns协议基础上补充扩展,以方便增加拓展dns附加功能。比如dnssec,这个是在原来dns基础上增加的新功能。
dns flag day 背景
edns是对dns协议的扩展补充(rfc6891),比如dnssec,client sub net,支持大于512字节dns响应等都是通过edns(version=0)来实现扩展支持的。但是一直以来,很多dns的权威域名服务器不能规范的处理edns扩展,导致类似google、bind等公司或软件需要针对不能正确处理edns request的ns服务器再次发起不包含edns opt的请求(edns error workaround)来获得最终解析结果,虽然可以通过这种做法获得解析结果但这导致了dns解析方面会存在很大的延迟。
dns flag day会造成什么影响?
在2019年2月1日后,对于不支持edns协议的授权dns服务器,将会被google、cloudflare、cisio/opendns、isc/bind等公共dns、递归dns标记为服务不可用,从而导致域名无法正常解析。
不正确处理edns请求,将可能导致实施了“dns flag day”的public dns服务商无法获取正确解析结果。
edns目前依然不是强制支持项,企业可能本来就拒绝edns,同时也不会全球所有的public dns都会实施 dns flag day,根据企业的解析来源属性不同,以及企业所用的dns系统对rfc6891标准遵从性不同(the software does not need to support edns(0) extensions but must respond correctly when asked according to edns standard section 7),影响结果可能不会那么大,但还是需要注意目前isc,google,cloudflare都明确表示会执行,因此可以预见越来越多的public dns会执行上述行为。
如何验证域名是否受影响?
如需验证你当前dns解析服务商是否符合规范,请访问如下网站进行检测:
https://dnsflagday.net
如果不符合规范,检测结果将会出现“stop”信息。
上一篇: 支付宝集五福揭秘:其实是一群“打黑工”