Uitfasering workarounds DNS-servers mogelijk gevolgen voor domeinen

Vanaf 1 februari 2019 wordt een belangrijke wijziging in DNS-software (Domain Name Service) uitgevoerd. Deze wijziging kan van invloed zijn op de beschikbaarheid van domeinen wereldwijd. Het gaat om de ‘extension mechanisms’ die aan DNS-servers zijn toegevoegd. Het NCSC en SIDN adviseren organisaties om hun DNS-servers zo snel mogelijk te testen op compliancy met EDNS versie 0 (EDNS0).

Stopzetten ondersteuning workarounds DNS

Door de groei van het internet is het DNS-protocol uitgebreid met ‘extension mechanisms for DNS’ (EDNS). DNS-cliënts maken in sommige gevallen gebruik van EDNS om een antwoord te krijgen, maar niet iedere DNS-server kan overweg met deze vragen. Om problemen te voorkomen zijn er in de loop der tijd workarounds ontstaan om de vraag te herformuleren en alsnog een antwoord te verkrijgen. Deze workarounds staan verdere ontwikkeling van DNS-software in de weg.

Daarom is besloten om de workarounds vanaf 1 februari 2019 niet langer te ondersteunen. Voortaan nemen softwareontwikkelaars de nieuwe standaard EDNS0 in hun producten op. Na het verwijderen van de workarounds worden onjuist of niet-reagerende DNS-servers als inactief beschouwd. Dit leidt mogelijk tot verstoring van de domeinen op die DNS-servers, wat effect heeft op de beschikbaarheid van onder andere websites en e-mailverkeer.

Test het DNS-protocol

Uit onderzoek van SIDN blijkt dat bijna 12.000 domeinnamen mogelijk hinder ondervinden van deze wijziging; dat is 0,2% van alle .nl-domeinnamen. Ook kan de wijziging van de DNS-software ertoe leiden dat een deel van het e-mailverkeer wordt gehinderd. Het is daarom belangrijk dat u voor 1 februari a.s. nagaat of de wijziging van invloed is op de domeinen van uw organisatie.

Domeineigenaren en operators kunnen hun domeinnamen online laten controleren op de website van DNS Flag Day of via de EDNS Compliance Tester van ISC. Als na het testen blijkt dat het domein op een onbetrouwbare DNS-server draait, stel dan direct de beheerder op de hoogte. Is het betreffende systeem op 1 februari 2019 niet in orde gemaakt, dan ontstaat het risico dat de domeinnamen voor een deel van de internetgebruikers onbereikbaar wordt.

Breed gedragen initiatief DNS Flag day

Naast PowerDNS en NLnet Labs doen ook de softwareontwikkelaars van ISC (BIND) en CZ.NIC (Knot) mee aan de zogenoemde DNS Flag Day. Deze organisaties hebben afgesproken om op of rond 1 februari a.s. minstens één strikte versie van hun software uit te brengen. Een overzicht van de eerste strikte versies:

  • BIND 9.13.3 (development) en 9.14.0 (productie)
  • Knot Resolver (alle recente versies)
  • PowerDNS Recursor 4.2.0
  • Unbound 1.9.0

Daarnaast zijn ook de grote aanbieders van publieke DNS-diensten bij dit initiatief betrokken: Cisco (OpenDNS), Cloudflare (1.1.1.1), Google (Public DNS), Quad9 (9.9.9.9) en CleanBrowsing.

Meer informatie

Wilt u meer informatie over deze wijziging of wilt u weten hoe u de test uitvoert? Kijk dan op de website van SIDN.  

 

Wat is het NCSC?

CSBN 2018

Nederland digitaal veilig