DNS Flag Day

Como mudanças no serviço de DNS a partir de 1o de fevereiro podem afetar o funcionamento do domínio da sua empresa

O DNS atual é desnecessariamente lento e ineficiente devido aos esforços para acomodar alguns sistemas DNS que não estão em conformidade com os padrões de DNS estabelecidos há duas décadas.

Para garantir maior sustentabilidade do sistema, é hora de encerrar essas acomodações e remediar os sistemas não compatíveis. Essa alteração tornará a maioria das operações do DNS um pouco mais eficiente e também permitirá que as operadoras implantem novas funcionalidades, incluindo novos mecanismos para proteger contra ataques DDoS.

Em 1º de fevereiro de 2019, os quatro principais provedores
de software para DNS recursivo – Bind, Unbound, PowerDNS
e Knot – lançarão conjuntamente novas versões de seus
sistemas com uma característica comum: o fim dos patches
provisórios históricos que eles perdoaram certos
comportamentos que se desviaram do padrão em servidores
DNS autoritativos. Esta data está sendo chamada de DNS Flag Day.

Na prática, servidores DNS que não estiverem em conformidade com os padrões atuais começarão a apresentar problemas como lentidão na resposta às consultas de nomes, envio de informações desnecessárias e mais. Isto pode por exemplo impactar a navegação de usuários externos para o site da sua empresa, caso os servidores de DNS do seu domínio não estejam adequadamente configurados. Você pode testar se o seu domínio está preparado para o DNS Flag Day através destes links:

• https://ednscomp.isc.org/ednscomp/472ec4837e
• https://dnsflagday.net/

Se o resultado não foi ok, uma alternativa é transferir o seu serviço de DNS externo para uma solução que esteja pronta e preparada para os standards atuais, como por exemplo a Cloudflare.

Cloudflare é um serviço na nuvem de segurança e aceleração de sites. Ele atua entre o usuário e os servidores de origem da organização, respondendo as requisições DNS e Web e filtrando tráfego inseguro. Mesmo que você opte por não usar os recursos de segurança da Cloudflare, ainda assim ao mantê-lo como seu servidor de DNS externo, você assegura que o seu servidor de nomes está up-to-date com as melhores práticas, inclusive com suporte a DNSSEC.

A boa notícia? Você pode fazer isto até mesmo com o plano gratuito da Cloudflare. Entre em contato com a Leverage para saber mais.

Outras informações e links úteis:

• ftp://ftp.registro.br/pub/gter/gter46/01-dns-flag-day.pdf
• https://www.us-cert.gov/ncas/current-activity/2019/01/30/MS-ISAC-Releases-Advisory-DNS-Flag-Day
• https://azure.microsoft.com/en-us/updates/azure-dns-flag-day/

(Em tempo: O DNSSEC protege contra respostas de DNS falsas. As zonas protegidas por DNSSEC são assinadas criptograficamente para garantir que os registros DNS recebidos sejam idênticos aos registros DNS publicados pelo proprietário do domínio.)