DÍA DE LA BANDERA DEL DNS

Febrero 1º de 2.019

 

¿Tu web está preparada para la actualización del sistema de seguridad DNS?

Conoce todo sobre el Día de la Bandera del DNS

 

¿De qué se trata? ¿Qué es lo que sucede?

 

El Sistema de Nombres de Dominio (DNS, por sus siglas en inglés), sistema fundamental para la operación técnica de Internet, está sufriendo algunas situaciones anómalas que afectan su desempeño y rendimiento, así como dificultades para incorporar nuevas funcionalidades que se han desarrollado en los últimos años, buscando hacerlo más eficiente.

Para optimizar vitales características de rendimiento, desempeño y eficiencia propias del DNS, el próximo 1º de febrero de 2.019, las cuatro (4) principales organizaciones que desarrollan software para servidores recursivos de resolución DNS (BIND, UNBOUND, POWERDNS, KNOT) lanzarán al mercado, de manera conjunta, una versión actualizada de sus programas de software para dichos servidores. con una característica en común: dichas versiones dejarán de incluir “parches” provisionales que “permitían” (perdonaban) diversas “malas prácticas o conductas”, desviadas de o no acordes con los estándares IETF (fuerza de ingeniería de la Sociedad Internet, por sus siglas en inglés) de intercambio de información con los servidores autoritativos de resolución DNS; esta situación puede llegar a afectar a diversos niveles la resolución de dominios alojados en servidores DNS que operen versiones desactualizadas o no preparadas para interactuar con dichos cambios o ajustes.

 

¿Qué significa EDNS?

 

EDNS se refiere al estándar de facto “RFC-6891” de la IETF, que se refiere a mecanismos para “extender” las funcionalidades del DNS, esto es, permitir que el DNS sea compatible y permita soporte a nuevas opciones, desarrollos y características funcionales: soporte a paquetes más grandes, más códigos de respuesta, entre otros, para mejorar su desempeño.  A partir de su implementación y adopción, otros RFC’s han incorporado nuevas “extensiones DNS” para hacer del DNS un sistema más robusto y efectivo.

 

¿Qué problemas enfrenta el DNS hoy?

 

Hoy en día muchos servidores DNS autoritativos bloquean respuestas, o simplemente no responden a consultas, con base en el tipo de requerimiento que se les hace; así mismo, existen muchas implementaciones erróneas de software DNS que no siguen o cumplen con los estándares, así como dispositivos de seguridad con configuraciones y/o políticas erróneas que bloquean tráfico DNS, hacia y desde los servidores, que sí sigue los estándares; tal vez la situación más compleja radica en que muchos servidores de resolución DNS deben agotar sus “tiempos de espera” para obtener una respuesta a sus consultas, para reintentar vía TCP o bien sin EDNS, lo cual conlleva a situaciones de lentitud y desempeño del sistema, e incluso impacta su desarrollo e innovación tecnológica.

 

¿Qué se pretende resolver con el “DNS FLAG DAY”?

 

Con la difusión de las actualizaciones de software de los servidores DNS que se van a realizar a partir del próximo 1º de febrero, bautizado técnicamente como el “día de la bandera del DNS”, se pretende desarrollar una campaña a nivel global que permita sensibilizar y hacer conscientes de esta situación, particularmente a los proveedores de servicios DNS, buscando con urgencia que sus administradores ajusten y actualicen las versiones de software de sus servidores, para resolver las situaciones de desempeño del DNS ya descritas, y así evitar que sus clientes, es decir los Registrantes de nombres de dominio que alojan en ellos sus registros DNS, sufran algún tipo de inconvenientes para el acceso a sus contenidos en línea (WEB, correo-e, etc.)

Es importante que los Registrantes de dominio que posean plataformas DNS propias, también revisen las versiones de software de sus servidores para evitar problemas de resolución DNS a partir del 1º de febrero, día en que los servidores DNS recursivos incluso comenzarán a tomar como “inexistentes” a todos aquellos servidores DNS autoritativos que no respondan de manera nativa a consultas EDNS.

 

¿Qué herramientas puedo utilizar para establecer si tengo problemas EDNS con mi dominio?

 

Existe un sitio WEB oficial del día de la bandera del DNS:

https://dnsflagday.net/es/

En dicho sitio existe una herramienta para que Ud. como Registrante de un nombre de dominio, pueda validar y verificar el estado de los servidores de nombres que tiene asociados a él.

ISC.ORG (desarrollador de BIND, el software más utilizado para servidores DNS) también provee y gestiona una herramienta de diagnóstico de salud y cumplimiento DNS muy completa, la cual puede accederse en los siguientes enlaces:

https://ednscomp.isc.org/ednscomp

https://gitlab.isc.org/isc-projects/DNS-Compliance-Testing

El Dominio de Alto Nivel (ccTLD, por sus siglas en inglés) checo (http://NIC.CZ) también gestiona una herramienta particular de cumplimiento EDNS, la cual puede ser descargada en su sitio WEB:

https://gitlab.labs.nic.cz/knot/edns-zone-scanner/

 

Hice pruebas con mi nombre de dominio bajo “.CO” y tengo problemas EDNS. ¿Qué puedo hacer?

 

En caso de encontrar errores, fallas o configuraciones erróneas como respuesta a la validación de su nombre de dominio registrado bajo “.CO”, le agradecemos de manera especial por favor ponerse en contacto lo antes posible con su proveedor de servicio DNS, el cual puede ser el mismo proveedor de servicios que aloja su contenido en línea o incluso quien lo desarrolla y actualiza.  Dicho proveedor deberá hacer los ajustes técnicos y de seguridad necesarios dentro de los servidores de su plataforma, para que su nombre de dominio no tenga ningún tipo de inconvenientes de resolución de consultas DNS (y ahora EDNS) a su contenido en línea, a partir del 1º de febrero, día en que como ya se indicó, se inicia una campaña global de actualización de servidores para que el DNS y por ende Internet, sea más estable, seguro y resiliente.

 

 

Comienza buscando tu dominio aquí