banner-premium-domain
banner-premium-domain

最近的大新聞是 DNS Flag Day!我還以為是胡扯,結果查一下還真有這個東西。

官方網頁在這邊:https://dnsflagday.net/

重點應該其實在於您的 DNS 權威伺服器有沒有支援 EDNS 的協議,如果沒有,那在 2019/2/1 號以後,使用 8.8.8.8 或是 1.1.1.1 等大型公用 DNS 將會無法解析。

DNS flag day 是什麼?

DNS 內有一個延伸安全協定叫做 EDNS,主要提供 DNS 的安全性功能,譬如 DNSSEC 與 擴展 DNS 封包。這些功能能夠幫助 DNS 的查詢更加安全。因為 DNS 本身的設計問題,當初並沒有考慮太多安全的設計。所以造成一些 DNS 詐騙或是污染。

但因為啟用 EDNS 之後,會造成封包變大,主機負載會變重,再過去硬體昂貴的年代,影響很大,所以很多 DNS 軟體會繞過 EDNS 協議,在速度與安全之間妥協。而公用 DNS 就是其中一個我們常用的服務,公用 DNS 大部分來說會繞過(Workaround) EDNS 來減低負載並提高速度。

但 Google、CloudFlare、IBM 等擁有公用 DNS 的大型廠商將於 2019/2/1 號之後開始將 8.8.8.8、1.1.1.1 與 9.9.9.9 停止繞過 EDNS,並且強制使用 EDNS 協議。

對你的影響是什麼?

其實重點應該是在權威伺服器,也就是大家知道的 DNS 代管服務商,他們使用的 DNS 主機有沒有將 DNS 軟體更新到新的版本。更新到新版軟體之後,自然對 EDNS 協議的支援度就沒有問題。

如果他們還是使用舊版本的軟體,則公用 DNS 在對主機做查詢的時候,就會自動失效。或是他們公司的防火牆 (任何主機之前的資安設備) 若是沒有支援 EDNS,同樣會失效,通常防火牆設備會是比較大的問題。

我怎麼知道沒有支援 EDNS

你只要打開 https://dnsflagday.net/ 然後在中間的地方,下面的方框中,填入你的網域名稱,就可知道你的 DNS 代管(權威伺服器),有沒有支援 EDNS。

如果有的話,就會出現像下面一樣的圖示:

ok for rsync.tw

不是跟我一樣的圖示,就趕快換一家 DNS 代管摟~

相關連結:中文域名怎麼測試 DNS Flag Day

幾家測試報告:

臺灣銀行 bot.com.tw
中國信託 ctbcbank.com
第一銀行
玉山銀行 esunbank.com.tw
shopline.tw
shop123.com.tw
91app.com


新聞連結:

最後修改日期: 2019-01-31

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。