У перший день лютого заплановано DNS Flag Day. Мова йде про планове оновлення інфраструктури та комплектуючих, ПЗ, пов’язаного з обробкою DNS-запитів, яке вступить в дію 1 лютого 2019 року. Ініціатором проекту стали ключові DNS-провайдери і виробники (Google, CloudFlare, Cisco). Причина – бажання викорінити застаріле обладнання і технології.

Систему DNS часто називають «телефонною книгою інтернету». Саме її робота дозволяє нам отримувати доступ до сайтів, прописуючи лише домени, а не відповідні IP-адреси. Функціонування DNS підтримує злагоджена ієрархічна робота DNS-серверів – під час завантаження кожної сторінки зайняті 4 таких пристрої.

Протокол DNS розробили ще в 80-х роках, з часом йому потрібні були поліпшення. Розширена версія стандарту називається EDNS, робота над нею ведеться з 1999 року. Але деякі сайти як і раніше підтримують тільки DNS-протокол.

Зараз доступ до них реалізований через зворотну сумісність: спочатку призначений для користувача клієнт відправляє запит з EDNS-прапором, а якщо не отримує відповідь – без такого маркування.

В результаті, ресурс завантажується довше. Застарілий стандарт також відкриває дорогу атакам DNS amplification і DNS flood.

Що ж станеться після 1 лютого? Коротко кажучи – сайти, чиї сервера не підтримують EDNS, не будуть відкриватися.

За словами бізнес-консультанта з безпеки Cisco Андрія Лукацького,  з 1 лютого сервери, які не підтримують стандарт EDNS будуть недоступні і потрапити на них буде неможливо.

“Будуть внесені зміни в найпопулярніше ПО, що відповідає за роботу DNS – Bind, Knot Resolver, PowerDNS і Unbound, яке буде приймати тільки відповідає стандарту EDNS трафік. Трафік зі старих і неоновлених серверів буде розглядатися як нелегітимний і ці сервери обслуговуватися не будуть, що може привести до недоступності доменів, які «висять» на цих серверах».

На щастя, це не повинно масово вдарити по інтернет-інфраструктурі – серверів без підтримки EDNS залишилося не більше 10% від загального числа.

Для того щоб перевірити свій ресурс, можна скористатися спеціально запущеним сайтом  dnsflagday.net.

Якщо індикатор на ньому загориться червоним – сайт припинить коректну роботу після 1 лютого. Жовтий колір вказує, що останній стандарт DNS-протоколу не підтримується, а у хакерів є шанси на успішну атаку. Зелений колір – відсутність проблем і потенційних вразливостей.

Також на dnsflagday.net розміщені ресурси та інструкції по оновленню інфраструктури і ПО.

Як показала перевірка, більшість українських офіційних порталів готові до DNS Flag Day. «Серйозні помилки» знайдено лише на сайті Міністерства молоді та спорту України – решта повністю оновлені або вимагають незначних доопрацювань. До слова, серед таких, які “загорілися” жовтим, виявилось і кілька тернопільських офіційних сайтів.