DNS Flag Day — плановое обновление инфраструктуры и ПО, связанного с обработкой DNS-запросов, которое вступит в силу 1 февраля 2019 года. 

Инициатором проекта стали ключевые DNS-провайдеры и производители (Google, CloudFlare, Cisco). Причиной — желание искоренить устаревшее оборудование и технологии.

Что намерены менять

Систему DNS часто называют «телефонной книгой интернета». Именно ее работа позволяет нам получать доступ к сайтам, прописывая лишь домены, а не соответствующие IP-адреса. Функционирование DNS поддерживает слаженная иерархическая работа DNS-серверов — при загрузке каждой страницы заняты 4 таких устройства.

Протокол DNS разработали еще в 80-х годах, со временем ему потребовались улучшения. Расширенная версия стандарта называется EDNS, работа над ней ведется с 1999 года. Но некоторые сайты по-прежнему поддерживают только DNS-протокол.

Сейчас доступ к ним реализован через обратную совместимость: сначала пользовательский клиент отправляет запрос с EDNS-флагом, а если не получает ответ — без такой маркировки.

В результате, ресурс загружается дольше. Устаревший стандарт также открывает дорогу атакам DNS amplification и DNS flood.

Что произойдет после 1 февраля

С 1 февраля не поддерживающие стандарт EDNS сервера будут недоступны и попасть на них будет невозможно. Будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound, которое будет принимать только соответствующий стандарту EDNS трафик.

Трафик со старых и необновленных серверов будет рассматриваться как нелегитимный и эти сервера обслуживаться не будут, что может привести к недоступности доменов, которые «висят» на этих серверах.

К счастью, это не должно массово ударить по интернет-инфраструктуре — серверов без поддержки EDNS осталось не более 10% от общего числа.

Как проверить свой ресурс

Для проверки запущен сайт dnsflagday.net. Если индикатор на нем загорится красным — сайт прекратит корректную работу после 1 февраля.

Желтый цвет указывает, что последний стандарт DNS-протокола не поддерживается, а у хакеров есть шансы на успешную атаку. Зеленый цвет — отсутствие проблем и потенциальных уязвимостей.

Также на dnsflagday.net размещены ресурсы и инструкции по обновлению инфраструктуры и ПО.