DNS Flag Day, de dag dat het internet kan 'breken'. Wat gebeurt er die dag, en waarom?
Een stukje geschiedenis
Het Domain Name System of DNS werd bedacht in een tijdperk dat het internet jong was. De protocollen van toen ademden vertrouwen in de medemens uit, en beveiliging bleef op het achterplan. Stilaan echter groeide het besef dat het DNS robuuster moest worden en meer functies moest bevatten in de boodschappen die het uitwisselde.
En zo ontstond, in 1999, EDNS of Extension mechanisms for DNS. Met de komst van EDNS werden ook DNSSEC , DNS geolocatie en andere beveiligingsmaatregelen zoals cookies in de klassieke DNS-boodschappen mogelijk. Elke overgang is echter moeilijk. Sommige bestaande firewalls of DNS-implementaties werden niet geüpdatet of de EDNS-standaard werd foutief geïnstalleerd, waardoor de recursieve resolvers moesten zorgen voor workarounds/patches om hen te blijven ondersteunen.
Nood aan standaardisering
We zijn ondertussen wel 20 jaar verder, en het gewicht van al die patches begint zwaar te wegen. Patches op patches, jaar na jaar - het onderhoud van deze gepatchte software wordt alsmaar complexer en leidt tot (soms gevaarlijke) bugs. Deze hulpmiddeltjes zorgen ook voor een trage responstijd en staan innovatie in de weg. Het is immers dringend nodig dat iedereen de standaarden volgt, anders wordt het moeilijk om de nieuwste dreigingen te weerstaan, zoals DNS amplification, DNS flood en Layer 7 aanvallen.
Verschillende grote IT-spelers, waaronder de developers van de verschillende recursieve resolvers, kwamen daarom bijeen en spraken af dat zij vanaf 1 februari 2019 niet langer DNS-servers zouden ondersteunen die de EDNS-standaard niet eerbiedigen. Alle nieuwe versies van hun software zullen de eerdere compatibele patches niet meer bevatten, en dus bestaat het gevaar dat domeinnamen vanaf die dag niet meer 'resolved' worden. Wat wel een ernstig risico inhoudt: zonder domeinnaam, geen website!
En omdat deze deadline voor een erg abrupte overgang zorgde, werd hiervoor de in computermiddens gangbare term 'Flag Day' gebruikt.
Wat betekent DNS Flag Day concreet voor jou?
Concreet betekent dit dat alle DNS-servers, die niet compatibel zijn met de EDNS-standaard of die stuk zijn door het gebruik van een firewall die niet EDNS-compatibel is, als 'dood' beschouwd worden, waardoor je domeinnaam niet meer functioneert.
Hoe jezelf voorbereiden op DNS Flag Day?
Organisaties zoals ISP's, hostingbedrijven en andere moeten hun huidig domein testen, en ook hun DNS- servers. Hiervoor zijn tools beschikbaar die te vinden zijn op de DNS Flag Day website. Ook als gewone gebruiker kan je nu al checken of jouw domeinnaam conform is, via een simpele test op diezelfde website.
Hopelijk is het antwoord een mooie "All OK" en een groene "GO". Is dat niet het geval, neem dan contact op met je hostingbedrijf. Er kan namelijk iets fout zijn met niet-werkende DNS-software of een gebroken Firewall implementatie. Een update van de DNS-software naar de laatste stabiele versie zal wellicht het euvel verhelpen.