2019年2月1日是DNS Flag Day,是由諸多國際知名的公共DNS服務供應商聯合發起的一項活動,目的在解決名稱伺服器不符合長期建立的DNS標準的問題。1999年,第一個DNS延伸安全協定發布,稱作EDNS(Extension Mechanisms for DNS),其功能主要是增加DNS的安全性,包括DNSSEC與擴展DNS封包,這些功能讓DNS的查詢更為安全,然而有些網站仍使用不符合EDNS協定的軟體,因此,DNS供應商必須實施其他變通辦法來支援不相容的軟體,卻會造成不必要的重試和延遲,並使新的DNS延伸協定難以實施。
自2月1日起,最常被使用的DNS軟體(如BIND、Unbound、PowerNDS和Knot)之供應商在開發軟體新版本時,將不再支援上述變通辦法,而一些公共DNS營運商(如CleanBrowsing、Cloudflare、Google和Quad9)將不再解析尚未支援標準EDNS協定的伺服器。
雖然DNS Flag Day受到的評價不一,但是以整體DNS社群來看,至少達成了以下三項目標:
- 光在一月份,Internet Systems Consortium所提供的測試網站就測試了將近480萬個域名,平均每秒進行2-3個測試,其中大約一半是透過DNS Flag Day網站發起的。這麼多人去測試並驗證其DNS實施情形,對DNS安全性必定帶來正面的影響。
- 在一月期間,Alexa排名前一百萬的域名在EDNS相容性上有明顯的進步,尤其是接近Flag Day截止日前,進步的情況更是大幅加速,另外,一些國家頂級域名測試了其子域名並發表相容性報告,如紐西蘭和捷克。
- 許多供應商(包括防火牆供應商和託管服務商)測試了他們自己的產品和服務,並公佈其狀態和計劃,以解決剩餘的EDNS相容性問題。
參考資料:
- Kevin Meynell, DNS Flag Day, Internet Society, 2019/02/08
- Anaïs, Are you ready for the DNS flag day? gandi.net, 2019/01/29
- Vicky Risk, DNS Flag Day, was it a success? Internet Systems Consortium, 2019/02/01