DNS Flag Day, quels impacts ?

Temps de lecture estimé : 2 minute(s)

Ce 1er Février, le protocole DNS (Domain Name System [1]) s’apprête à vivre un nouveau grand changement…

Contexte

Le protocole DNS existe depuis maintenant plus de 30 ans. Ce protocole est l’un des garants du bon fonctionnement d’Internet. Il est en charge du lien entre un nom de domaine (www.ovh.com) et l’IP sur lequel le site est hébergé (198.27.92.1). Ce protocole pourrait s’apparenter à  un  annuaire du web.

Du fait de l’évolution d’Internet et des technologies le composant, le protocole DNS a dû lui aussi suivre plusieurs évolutions tout au long de son existence.

Aujourd’hui, nous nous intéressons particulièrement à sa première extension, appelé EDNS [2], qui est au cœur du DNS Flag Day.

EDNS, késako ?

Cette extension permet d’élargir les fonctionnalitées offerte par le protocole DNS.

Il y a une dizaine d’années, cette extension a permis la mise en place de DNSSEC [3], qui sécurise le protocole DNS en signant les échanges par méthode cryptographique.

Malheureusement, parmi de nombreux serveurs DNS, l’extension EDNS n’est pas toujours implémentée, ne respecte pas correctement la norme, voir est même parfois bloquée !

Pour assurer la stabilité de la résolution des noms de domaines, les infrastructures de résolution ont dû mettre en place des correctifs permettant de gérer ces exceptions.

Activation au 1er Février 2019

Ces exceptions dégradent les performances de la résolution des noms de domaines, et donc directement l’expérience utilisateur. Les patchs sont aussi compliqués à maintenir.

C’est pour cette raison que le DNS Flag Day a été créé. A partir de ce premier jour de février, les exceptions mises en œuvre dans les resolvers seront supprimées. Vous n’observerez probablement pas de différences le jour J, mais au fur et à mesure des mises à jour sur les serveurs DNS, la résolution risque d’être compromise.

Qui sera impacté ?

Les infrastructures d’OVH sont compatibles avec EDNS, aucun incident n’est à prévoir si vous utilisez les services DNS proposés.

Si votre zone DNS n’est pas hébergée sur les DNS OVH, nous vous conseillons de vous renseigner auprès de votre prestataire.

Dans le cas où vous n’êtes pas en mesure d’être prêt pour le 1er Février, vous avez la possibilité de migrer votre zone DNS sur nos infrastructures. Voici nos guides pour vous accompagner :

Suis-je impacté ?

Le moyen le plus simple est de le vérifier directement au travers des outils mis à disposition par l’organisation DNS Flag Day. Pour plus de simplicité, un outil en ligne est également disponible :

DNS Flag Day est une organisation de confiance regroupant plusieurs acteurs. L’outil ainsi proposé ne présente aucun risque.

Pour aller plus loin

Le registre de l’extension .cz a mis en ligne un outil permettant de scanner n’importe quelle extension et vérifier sa compatibilité avec la résolution utilisant EDNS.

L’AFNIC a réalisé un test pour le TLD (Top Level Domain) « .fr ». Leurs resultats montrent un impact potentiel de 3.49 % des domaines « .fr ».

 

Leave a reply:

Your email address will not be published.