Entrevista a Hugo Salgado (.CL): DNS Flag Day

24-07-2018

Hugo Salgado¿Qué es el DNS Flag Day?

Cuando el IETF publicó el estándar EDNS como extensión al DNS, en el año 1999, se definió el comportamiento que deberían seguir los servidores autoritativos desde ese momento en adelante. El estándar EDNS era “retrocompatible”, es decir, permitía que los antiguos servidores DNS siguieran funcionando, pero definía claramente cómo deberían comportarse las nuevas versiones que implementaran EDNS.

Desde entonces, año tras año, aparecieron servidores DNS incompatibles con el estándar al igual que algunas prácticas de dispositivos “en el medio” (como firewalls, inspectores de tráfico, etc.) que interrumpían el correcto funcionamiento del EDNS.

En ese momento, los fabricantes de software “resolutor” comenzaron a colocar “parches” en sus sistemas para permitir la operación con aquellos servidores DNS incompatibles. Lo esperable hubiera sido que este software fallara al conversar con estos DNS porque no estaban respondiendo correctamente. No obstante, a través de los “parches” se decidió sortear estos problemas para favorecer la robustez del sistema DNS y permitir un tiempo prudente de desarrollo de Internet.

Sin embargo, luego de veinte años de este tipo de respuestas, cada vez se escuchan más voces pidiendo que se respete el estándar de una forma más rigurosa. Los errores de protocolo no solo se mantienen sino que se hacen cada vez más graves, principalmente, producto de una supuesta “práctica de seguridad” mal entendida.

Debido a la existencia de estos “parches”, los fabricantes de software resolutor se ven obligados a mantener códigos antiguos, ineficientes y siempre cambiantes para poder responder a los nuevos errores. Además de que al complejizar su mantención se encuentran sujetos a constantes errores y bugs.

Otro inconveniente adicional consiste en que estos servidores DNS incompatibles detienen la innovación y la inclusión de nuevas características del DNS moderno.

Por todo lo anterior, los principales fabricantes de software DNS resolutor se reunieron y acordaron dejar de dar soporte a los servidores DNS que no respeten el estándar a partir del 1 de febrero de 2019.  Desde esta fecha, todas las nuevas versiones de sus software no contarán con los “parches” y, por ende, fallarán al resolver nombres de dominio que estén siendo servidos incorrectamente.

¿Qué es el estándar EDNS?

El EDNS es una ampliación al protocolo DNS original, realizada en 1999, que permite incluir nuevas funcionalidades a los mensajes DNS clásicos.

Aquel año se detectó que un DNS moderno necesitaría nuevas funciones que no podían codificarse en el DNS original, en consecuencia, se diseñó el EDNS como un conjunto de señalizaciones que permiten extender las funcionalidades del DNS.

DNSSEC, la geolocalización del DNS y otras mejoras de seguridad como cookies en el DNS son posibles gracias a la implementación del EDNS.

¿Cuáles son los efectos de los “parches provisorios” en las EDNS? ¿Cómo va a impactar el DNS Flag Day sobre estos “parches”?

Los parches van a desaparecer de las nuevas versiones, por lo tanto, los nombres de dominio que hasta el 1 de febrero de 2019 “funcionaban” podrían dejar de hacerlo.

Estos “parches” permitían la resolución de un nombre incluso cuando este estuviera viviendo en un servidor DNS no-estándar.

¿Quiénes deben estar atentos a los cambios que serán implementados a partir del 1 febrero de 2019? ¿Qué medidas se deben tomar al respecto de estos cambios?

Los que deberán tomar medidas al respecto de estos cambios son los ISP, las empresas de hosting, entre otros.

Aquellos que mantienen nombres de dominio en sus servidores DNS autoritativos deben revisarlos con las herramientas indicadas y corregir sus errores.

Los usuarios que no mantiene DNS pero sí tienen nombres de dominio, también pueden revisar y acudir a su empresa de DNS en caso de error para exigir su reparación.

Más información.