強化DNS安全,三大公共DNS服務商將在2月1日測試EDNS協議
為強化DNS服務的驗證,成立於2002年的全球網際網路名稱與數字地址分配機構(Internet Corporation for Assigned Names and Numbers,ICANN),在最近這幾年,正不斷推廣DNS Security Extensions(DNSSEC),目標是提升網路的使用安全,要確保DNS的內容,不會在源頭被修改,以及阻止黑客惡意移轉DNS使用者的流量,同時也讓DNS的查詢將更加安全。而在DNSSEC中,包含了兩個重要關鍵技術,分別是數字簽名與EDNS。
為了匯入EDNS協議,最近Cloudflare、Google、IBM這三大公共DNS服務商,共同宣佈將在2019年2月1日,測試其EDNS的符合性功能,並命名為DNS Flag Day。這也意謂著,在2月1日之後,支援EDNS協議的域名,上網將更加安全。而到現在還沒有準備就緒的域名,將會受到影響,因為這些公共DNS,如Cloudflare(1.1.1.1)、Google(8.8.8.8)、IBM(9.9.9.9),可能因為無法順利解析IP位址,或解析反應變慢,造成使用者感受到上網速度變慢或無法連線。
對於域名管理者而言,若要確認自家的DNS設定,在DNS Flag Day的專屬網站上,已經提供了域名檢查的功能,可以檢查是否受到影響。若是檢測發現到問題時,可依照該網頁的說明進行修正。關於檢測失敗的原因,問題可能出在DNS與防火牆,因此,要解決問題,建議將DNS升級到最新的穩定版本,然後再次進行測試,如果升級DNS後仍然失敗的話,建議再檢查本身的防火牆配置。
另一方面,關於這次三大公共DNS業者測試EDNS,也將會影響到一般使用者上網,如果使用者使用這些業者提供的DNS服務,就要注意,上述使用者如在2月1日當日發現網站無法連線時,可以更改使用其他DNS服務。
在因應方式上,有不少業者正在推廣自家的DNS服務,例如百度的免費公共DNS(180.76.76.76),Public DNS(119.29.29.29,182.254.116.116),114 DNS(114.114.114.114,114.114.115.115),AliDNS(223.5.5.5,223.6.6.6),SDNS(1.2.4.8,210.2.4.8)等等。
至於其他DNS服務商何時要啟用更安全的EDNS,未來我們也將持續關注。
PS:
DNS Flag Day是一項針對權威DNS的、共識性的全球更新,旨在確保所有主要DNS基礎架構都遵循新的EDNS標準(DNS擴充套件機制)。從2019年2月1日後,對於不支援EDNS協議的權威DNS伺服器,在EDNS查詢時可能會被Google、Cloudflare、Cisco/OpenDNS、ISC/BIND等公共DNS、遞迴DNS標記為服務不可用,從而導致域名無法正常解析。在非EDNS查詢時域名正常解析,不受影響,中國大陸地區絕大多數為非EDNS查詢。
可以使用測試網站( https://dnsflagday.net/ )驗證是否符合EDNS標準規範。
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新連結地址: https://www.linuxidc.com/Linux/2019-01/156671.htm