DNS flag day: waarom delen van het internet op 1 februari stuk gaan

DNS flag day: waarom delen van het internet op 1 februari stuk gaan

14-01-2019 16:30:00

dns_flag.png

Dit jaar viert het Domain Name System (DNS) zijn veertigste verjaardag. In augustus 1979 werd een DNS-systematiek in IEN116 gepubliceerd door Jon Postel, één van de grootvaders van het internet. Het DNS zorgt voor de omzetting van namen (domeinnamen) naar nummers (IP-adressen) en andersom, het is een soort telefoonboek voor het internet. Een vereenvoudigde uitleg van de manier waarop DNS werkt vind je in een oude blogpost van BIT. Een volledige uitleg van de werking van DNS vind je in de uitstekende introductie van de hand van Bert Hubert. Op 1 februari 2019 zal een deel van de domeinnamen op het internet echter voor een deel van de internetgebruikers niet meer via het DNS bereikbaar zijn. Wat er op deze dag staat te gebeuren en hoe je kan controleren of jouw domeinnaam onbereikbaar wordt lees je in dit stuk.

 

Historie

Twintig jaar na de introductie van DNS werd EDNS, extensie mechanismen voor DNS, gepresenteerd in RFC2671 (1999). Met EDNS werden grotere DNS-pakketten mogelijk en werd ook bijvoorbeeld DNSSEC, een uitbreiding op het DNS ten behoeve van cryptografie, mogelijk gemaakt. Een deel van de authoritative nameservers biedt echter nog geen correcte ondersteuning voor EDNS. Authoritative nameservers zijn de servers waar een domeinnaambeheerder opgeeft op welk IP-adres de website en e-mail te vinden zijn. De caching nameservers op het internet hebben de afgelopen twintig jaar work-arounds toegepast om ervoor te zorgen dat er geen domeinnamen onbereikbaar worden als gevolg van foutieve EDNS-implementaties op authoritative nameservers. Caching nameservers zijn de servers die voor een internetgebruiker aan een authoritative nameserver het DNS bevragen.

 

DNS flag day

Op 1 februari 2019 zullen de grote, open source DNS software makers genoemde work-arounds op hun caching nameservers verwijderen. Het gaat dan om partijen zoals PowerDNS, NLnet Labs en ISC die onder andere de PowerDNS, Unbound en BIND nameserver software maken. Daarnaast zullen een aantal grote publieke resolving nameservers waaronder Quad9 (9.9.9.9) en Google (8.8.8.8) hun software aanpassen waardoor er geen EDNS work-arounds meer zullen werken. Meer informatie over deze wijzigingen vind je op een speciale website voor deze 'DNS flag day' of bekijk de video waarin het probleem besproken wordt. Het verwijderen van de work-arounds heeft als doel dat de complexiteit van de resolvers verminderd wordt. Daarnaast zal in sommige gevallen het bevragen van het DNS sneller worden.

 

En nu?

Als je van de BIT authoritative nameservers gebruikmaakt hoef je geen actie te ondernemen. Onze nameservers ondersteunen EDNS. Hier kan je zien dat het domein bit.nl door de 'EDNS Compliance Tester' komt. De domeinnaam bit.nl maakt gebruik van de BIT authoritative nameservers. Als je van andere authoritative nameservers gebruikmaakt, of je weet niet van welke authoritative nameservers jouw domein gebruikmaakt, controleer je domeinnaam dan hier. Je hoeft op deze website alleen maar je eigen domeinnaam zonder www, bijvoorbeeld 'example.nl', op te geven in het veld 'Zone Name', de andere velden kun je leeglaten. Als het resultaat iets anders oplevert dan 'All Ok' loop je het risico dat na 1 februari jouw domeinnaam voor een deel van het internet niet meer of slecht bereikbaar zal zijn.

 

Upgraden of verhuizen

Als jouw domeinnaam niet door de test komt laat de beheerders van de authoritative nameservers hun nameservers upgraden of laat ze controleren of hun firewalls de ondersteuning van EDNS in de weg zitten. Mocht dit problemen opleveren of als je bang bent dat de beheerders niet tijdig actie ondernemen (ze hebben er per slot van rekening de afgelopen 20 jaar ook niets mee gedaan), kan je ook je domeinnaam verhuizen naar een partij die wel EDNS ondersteunt. Klanten van BIT kunnen een verhuizing naar BIT via de portal opgeven. Ben je nog geen klant, maar wil je je domeinnaam naar ons verhuizen, neem dan contact met ons op. Als de beheerders hun servers niet tijdig in orde krijgen én je wilt je domeinnaam niet naar ons verhuizen maar wel gebruikmaken van de BIT nameservers neem ook dan contact met ons op.