为强化DNS服务的验证,成立于2002年的全球互联网名称与数字地址分配机构(Internet Corporation for Assigned Names and Numbers,ICANN),在最近这几年,正不断推广DNS Security Extensions(DNSSEC),目标是提升网络的使用安全,要确保DNS的内容,不会在源头被修改,以及阻止黑客恶意移转DNS用户的流量,同时也让DNS的查询将更加安全。而在DNSSEC中,包含了两个重要关键技术,分别是数字签名与EDNS。
为了导入EDNS协议,最近Cloudflare、Google、IBM这三大公共DNS服务商,共同宣布将在2019年2月1日,测试其EDNS的符合性功能,并命名为DNS Flag Day。这也意谓着,在2月1日之后,支持EDNS协议的域名,上网将更加安全。而到现在还没有准备就绪的域名,将会受到影响,因为这些公共DNS,如Cloudflare(1.1.1.1)、Google(8.8.8.8)、IBM(9.9.9.9),可能因为无法顺利解析IP位址,或解析反应变慢,造成用户感受到上网速度变慢或无法连线。
对于域名管理者而言,若要确认自家的DNS设定,在DNS Flag Day的专属网站上,已经提供了域名检查的功能,可以检查是否受到影响。若是检测发现到问题时,可依照该网页的说明进行修正。关于检测失败的原因,问题可能出在DNS与防火墙,因此,要解决问题,建议将DNS升级到最新的稳定版本,然后再次进行测试,如果升级DNS后仍然失败的话,建议再检查本身的防火墙配置。
另一方面,关于这次三大公共DNS业者测试EDNS,也将会影响到一般使用者上网,如果用户使用这些业者提供的DNS服务,就要注意,上述用户如在2月1日当日发现网站无法连线时,可以更改使用其他DNS服务。
在因应方式上,有不少业者正在推广自家的DNS服务,例如百度的免费公共DNS(180.76.76.76),Public DNS(119.29.29.29,182.254.116.116),114 DNS(114.114.114.114,114.114.115.115),AliDNS(223.5.5.5,223.6.6.6),SDNS(1.2.4.8,210.2.4.8)等等。
至于其他DNS服务商何时要启用更安全的EDNS,未来我们也将持续关注。
DNS Flag Day是一项针对权威DNS的、共识性的全球更新,旨在确保所有主要DNS基础架构都遵循新的EDNS标准(DNS扩展机制)。从2019年2月1日后,对于不支持EDNS协议的权威DNS服务器,在EDNS查询时可能会被Google、Cloudflare、Cisco/OpenDNS、ISC/BIND等公共DNS、递归DNS标记为服务不可用,从而导致域名无法正常解析。在非EDNS查询时域名正常解析,不受影响,中国大陆地区绝大多数为非EDNS查询。
可以使用测试网站( https://dnsflagday.net/ )验证是否符合EDNS标准规范。
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新链接地址: https://www.linuxidc.com/Linux/2019-01/156671.htm