近日,財團法人台灣網路資訊中心(TWNIC)提醒民眾,由於部分公共DNS業者將在2月1日進行EDNS的符合性功能測試,因此網域管理者與一般民眾都要注意,如果發現當日連上部分網站變慢,就可能是此原因造成。

為強化DNS服務的驗證,成立於2002年的全球網域名稱管理機構(Internet Corporation for Assigned Names and Numbers,ICANN),在最近這幾年,正不斷推廣DNS Security Extensions(DNSSEC),目標是提升網路的使用安全,像是要確保DNS的內容,不會在源頭被修改,以及阻止駭客惡意移轉DNS用戶的流量,同時也讓DNS的查詢將更加安全。而在DNSSEC中,包含了兩個重要關鍵技術,分別是數位簽章與EDNS,其中EDNS就是DNS內的延伸安全協定,主要提供DNS的安全性功能,並可擴展DNS封包。

為了導入EDNS協定,最近Cloudflare、Google、IBM這三大公共DNS服務商,共同宣布將在2019年2月1日,測試其EDNS的符合性功能,並命名為DNS Flag Day。這也意謂著,支援EDNS協定的域名,上網將更加安全。而到現在還沒有準備就緒的網域,將會受到影響,因為這些公眾DNS,如Cloudflare(1.1.1.1)、Google(8.8.8.8)、IBM(9.9.9.9),可能因為無法順利解析IP位址,或解析反應變慢,造成用戶感受到上網速度變慢或無法連線。

對於網域管理者而言,若要確認自家的DNS設定,在DNS Flag Day的專屬網站上,已經提供了域名檢查的功能,可以檢查是否受到影響。若是檢測發現到問題時,可依照該網頁的說明進行修正。關於檢測失敗的原因,問題可能出在DNS與防火牆,因此,要解決問題,建議將DNS升級到最新的穩定版本,然後再次進行測試,如果升級DNS後仍然失敗的話,建議再檢查本身的防火牆配置。

 

簡單來說,在https://dnsflagday.net/ 網站上,只要輸入域名就可檢測出你的網站是否有受到影響。

另一方面,關於這次三大公共DNS業者測試EDNS,也將會影響到一般使用者上網,如果用戶使用這些業者提供的DNS服務,就要注意,TWNIC也建議,上述用戶如在2月1日當日發現網站無法連線時,可以更改使用其他DNS服務。

在因應方式上,國內也有不少業者,順勢推廣自家的DNS服務,例如TWNIC的Quad101免費公共DNS位置(101.101.101.101、101.102.103.104),中華電信也在網站發表相關聲明,指出Hinet DNS服務(168.95.192.1、168.95.1.1)及HiNet代管DNS服務,皆可正常解析不受影響,受影響的用戶也可改使用HiNet DNS服務。此外,國內還有其他選擇,像是Seednet 139.175.1.1、139.175.1.244,與TFN/TTN DNS 61.31.1.1 或 61.31.233.1等。至於未來的影響及其他DNS業者要升級EDNS,我們也將持續關注。

不論如何,DNS Flag Day的目的是希望促進DNS環境都能符合原始DNS標準(RFC1035)或EDNS標準(RFC2671和RFC6891),警告意謂濃厚,若是企業使用的DNS軟體版本太過老舊,就是首要關注焦點。


Advertisement

更多 iThome相關內容