最近的大新聞是 DNS Flag Day!我還以為是胡扯,結果查一下還真有這個東西。
官方網頁在這邊:https://dnsflagday.net/
重點應該其實在於您的 DNS 權威伺服器有沒有支援 EDNS 的協議,如果沒有,那在 2019/2/1 號以後,使用 8.8.8.8 或是 1.1.1.1 等大型公用 DNS 將會無法解析。
DNS flag day 是什麼?
DNS 內有一個延伸安全協定叫做 EDNS,主要提供 DNS 的安全性功能,譬如 DNSSEC 與 擴展 DNS 封包。這些功能能夠幫助 DNS 的查詢更加安全。因為 DNS 本身的設計問題,當初並沒有考慮太多安全的設計。所以造成一些 DNS 詐騙或是污染。
但因為啟用 EDNS 之後,會造成封包變大,主機負載會變重,再過去硬體昂貴的年代,影響很大,所以很多 DNS 軟體會繞過 EDNS 協議,在速度與安全之間妥協。而公用 DNS 就是其中一個我們常用的服務,公用 DNS 大部分來說會繞過(Workaround) EDNS 來減低負載並提高速度。
但 Google、CloudFlare、IBM 等擁有公用 DNS 的大型廠商將於 2019/2/1 號之後開始將 8.8.8.8、1.1.1.1 與 9.9.9.9 停止繞過 EDNS,並且強制使用 EDNS 協議。
對你的影響是什麼?
其實重點應該是在權威伺服器,也就是大家知道的 DNS 代管服務商,他們使用的 DNS 主機有沒有將 DNS 軟體更新到新的版本。更新到新版軟體之後,自然對 EDNS 協議的支援度就沒有問題。
如果他們還是使用舊版本的軟體,則公用 DNS 在對主機做查詢的時候,就會自動失效。或是他們公司的防火牆 (任何主機之前的資安設備) 若是沒有支援 EDNS,同樣會失效,通常防火牆設備會是比較大的問題。
我怎麼知道沒有支援 EDNS
你只要打開 https://dnsflagday.net/ 然後在中間的地方,下面的方框中,填入你的網域名稱,就可知道你的 DNS 代管(權威伺服器),有沒有支援 EDNS。
如果有的話,就會出現像下面一樣的圖示:
不是跟我一樣的圖示,就趕快換一家 DNS 代管摟~
幾家測試報告:
新聞連結:
- https://blog.twnic.net.tw/2019/01/29/2384/?fbclid=IwAR3Kr2OEHw7s4ZQ8bWgL-oHZz6VXcckRIsPzM5jswL1RkIVcAHCHCxSFr4A
- https://blog.gslin.org/archives/2019/01/28/8705/hinet-%e5%b0%8d%e6%96%bc-dns-flag-day-%e7%9a%84%e5%85%ac%e5%91%8a/
- https://www.hinet.net/notifyPage.html?type=0&id=16893878ead0000035a7
