Realtime zonefile updates voor .nl?

Realtime zonefile updates voor .nl?

03-06-2016 09:11:50

Medewerkers van BIT zijn actief in diverse organisaties en gremia om daar het belang van (in willekeurige volgorde) het bedrijf, het internet en de klanten van BIT te vertegenwoordigen. Namens BIT is Wido Potters lid van de technische commissie van de Vereniging van Registrars (VVR). De VVR behartigt de belangen van de registrars en hun klanten bij SIDN, de organisatie die verantwoordelijk is voor alle .nl domeinnamen. Samen met Kees Monshouwer van Monshouwer Internet Diensten schreef hij voor de nieuwsbrief van de VVR onderstaande blog.

De zonefile is een soort lijst met domeinnamen met bijbehorende instellingen van die domeinnamen.

Een veelgehoorde wens van registrars is realtime zonefile updates voor .nl. Bij aanschaf van een domeinnaam (en hostingpakket) zou de klant direct aan de slag kunnen én het resultaat kunnen tonen aan vrienden, familie of collega's. Super mooi. En hiermee zullen vragen wanneer die nieuwe domeinnaam nou eens gaat werken tot het verleden behoren. Of toch niet?

De commissie techniek van de VVR deelt de wens naar snellere zonefile updates. Wij zien echter een aantal technische obstakels die realtime updates onwenselijk maken, maar het verhogen van de updatefrequentie is wel wenselijk. Op verzoek van de VVR heeft SIDN afgelopen maanden al een eerste stap naar meer updates gemaakt door de zonefile voortaan elk uur in plaats van elke twee uur te vernieuwen.

Enige inzicht in hoe het Domain Name System (DNS) werkt is van belang om te begrijpen wat die technische obstakels zijn. Bij het resolven (opzoeken) van een hostname werkt het DNS van achter naar voren. Achter elke hostname, bijvoorbeeld www.verenigingvanregistrars.nl, staat een punt: dit staat voor root. Eigenlijk staat er dus www.verenigingvanregistrars.nl. (punt). Bij het opzoeken van het IP-adres of de IP-adressen waar www.verenigingvanregistrars.nl. is te vinden, zal de resolving nameserver bij die punt, root, beginnen. Voor de vraag die aan root gesteld wordt, is het DNS niet nodig omdat elke resolver de IP-adressen van de root nameservers vast ingesteld heeft staan. De resolving nameserver vraagt root: "Waar vind ik www.verenigingvanregistrars.nl.?". Root zal antwoorden dat hij dat antwoord niet heeft, maar zal ook aangeven wat de IP-adressen van de nameservers van .nl zijn waar diezelfde vraag gesteld kan worden. Aan één van de nameservers van .nl wordt gevraagd "Waar vind ik www.verenigingvanregistrars.nl.?". Als het domein verenigingvanregistrars.nl niet of net geregistreerd is maar nog niet in de zonefile staat, zal de nameserver aangeven dat het domein niet bestaat én erbij vertellen hoe lang dat antwoord onthouden mag worden. Deze duur noemen we de 'negative TTL'.

Als het domein wel in de zonefile staat zal de .nl nameserver antwoorden dat hij dat antwoord niet heeft, maar zal ook aangeven wat de nameservers van verenigingvanregistrars.nl. zijn waar diezelfde vraag gesteld kan worden. Bovendien wordt daarbij vermeld hoe lang de verwijzing naar die nameservers (NS) onthouden mag worden. Deze duur noemen we de 'NS TTL'. Als de domeinnaam verenigingvanregistrars.nl van DNSSEC voorzien is, wordt ook vermeld wat het DS record is en hoe lang deze onthouden mag worden. Die duur noemen we de 'DS TTL'.

Tot slot zal aan de nameservers voor verenigingvanregistrars.nl. gevraagd worden waar www.verenigingvanregistrars.nl. gevonden kan worden. De resolver krijgt eindelijk antwoord op die vraag en zal dat antwoord doorgeven aan degene die www.verenigingvanregistrars.nl. wil bezoeken. Bovendien wordt het antwoord voor de duur van de instelde TTL bewaard.

Het antwoord mag een bepaalde duur onthouden worden zodat de resolving nameserver niet voor elk verzoek van een client hetzelfde vraag-antwoord-spel moet gaan spelen. Als de ene klant van een grote internet access provider de website van de VVR bezoekt en de resolving nameserver van die provider dus daarvoor is gaan rondvragen in het DNS, hoeft diezelfde resolver diezelfde vraag niet een paar seconden later te gaan stellen voor een andere klant die ook de website van de VVR wil bezoeken. Hiermee blijft het DNS verkeer enigszins beperkt en daarmee ook de load op de verschillende nameservers.

TTL's hebben nog een ander nut. Bij problemen met het updaten van de zonefile of de beschikbaarheid van de nameservers zorgt de TTL ervoor dat domeinen waar de TTL nog niet van verlopen is toch bereikbaar blijven. Fijn om te hebben, want we weten allemaal dat hoe goed je het ook geregeld hebt, er komt een dag dat er toch iets mis gaat.

SIDN heeft lange tijd elke 2 uur een nieuwe zone gepubliceerd. Elke twee uur werd dus de zonefile geüpdatet met info over welke domeinnamen geregistreerd waren, welke nameservers daar bij hoorden, eventueel welk DS record er voor die domeinnaam stond met de bijbehorende TTL's. Sinds kort is de publicatie versneld naar elk uur. Er zijn registries die de zonefile nog sneller updaten. EURid (.eu) en Verisign (.com) updaten hun zonefile realtime, elke wijziging wordt dus direct doorgevoerd in de zonefile. Dat is handig! Maar de snelheid waarbij wijzigingen aan die zonefile ook echt over de wereld bekend zijn is ook van de ingestelde TTL's afhankelijk. En dat hebben de beheerders van .nl weer veel beter geregeld dan hun collega's van .eu en .com.

Hierdoor zijn mutaties (andere nameservers of een ander DS record bijvoorbeeld bij verhuizingen) voor .nl domeinnamen veel sneller bekend dan die voor .eu en .com. Voor nieuwe registraties zijn .eu en .com weliswaar (iets) sneller dan .nl.

Laten we eens kijken wat er concreet gebeurt bij een nieuwe registratie. Zoals hierboven beschreven bepaalt de negative TTL mede wanneer voor een nieuwe domeinnaam de resolver met zekerheid het nieuwe antwoord geeft. Voor .com staat de negative TTL op 900 seconden. Voor .eu en .nl staat de negative TTL op 600 seconden, 10 minuten dus. Het duurt maximaal zonefile update plus negative TTL totdat een nieuwe registratie voor alle resolvers bekend is. Voor .eu is dat dus 10 minuten (realtime + 10 minuten), voor .com 15 minuten (realtime + 15 minuten) en voor .nl 70 minuten (1 uur + 10 minuten).

Voor mutaties aan domeinen is de NS TTL van belang. Voor .nl staat de NS TTL op 3600 seconden, een uur dus. Voor .eu en .com staat deze op 86400 seconden, een dag. Dat betekent dat wijzigingen aan .nl domeinen na 2 uur (1 uur zonefile update + 1 uur NS TTL) bekend zijn. Voor .eu en .com is dat beide een dag (realtime + 1 dag).

Voor verhuizingen van domeinnamen waar DNSSEC op geconfigureerd staat is de situatie bij .eu en .com nog dramatischer. Hierbij speelt naast de NS TTL ook de DS TTL een rol. En omdat je er niet vanuit kunt gaan dat beide TTL's op hetzelfde moment verlopen, zul je beide apart moeten incalculeren in de doorlooptijd.

Een insecure verhuizing waarbij tijdens de verhuizing de domeinnaam niet meer met DNSSEC beschermd is, duurt voor .nl ongeveer 4 uur, voor .eu en .com loopt dat op naar 2 dagen.

Voor secure verhuizingen, waarbij DNSSEC aan blijft tijdens de verhuizing, is de doorlooptijd nog aanzienlijk langer. Knap onhandig als een klant redenen heeft om zo snel mogelijk zijn domeinnaam ergens anders onder te brengen.

De commissie techniek van de VVR zet daarom in op een zonefile die zo vaak mogelijk vernieuwd wordt, maar met behoud van de huidige TTL's van .nl. Laat vooral van je horen als je hier een vraag of een mening over hebt. Je komt met ze in contact via com.tech@verenigingvanregistrars.nl.

Door: Wido Potters en Kees Monshouwer