«Черная пятница» для сайтов: с 1 февраля многие сайты перестанут работать

Что это такое? В начале 1980-х годов был разработан протокол DNS. По истечении некоторого времени понадобилось добавить в него новые функции и возможности. Работа началась в 1999 году: в виде RFC 2671 была опубликована первая версия расширений под названий EDNS0 (Extension Mechanism for DNS). Эта версия дала возможность снять некоторые ограничения. Потом изменения добавлялись снова и снова, и текущая версия расширенного протокола EDNS описана в RFC 6891.

В то же время не все DNS-сервера поддерживают EDNS. Это создает сложности при взаимодействии, а также при необходимости обеспечивать обратную совместимость. Все это приводит как к замедлению работы всей системы DNS, так и к невозможности в полной мере реализовать все новые возможности EDNS. Эта ситуация закончится 1 февраля: сервера, которые не поддерживают стандарт EDNS, станут недоступными. Попасть на них будет невозможно. Будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound. После этих изменений программное обеспечение будет принимать только соответствующий стандарту EDNS трафик. Соответственно, трафик со старых и не обновленных серверов будет рассматриваться как нелегитимный. А они не будут обслуживаться, что может привести к недоступности доменов, которые «висят» на этих серверах.

DNS Flag Day пройдет незамеченным для тех компаний, DNS-провайдеры которых уже обновляют или обновили свое ПО до необходимых версий. А вот у тех, кто самостоятельно поддерживает собственные DNS-сервера, могут возникнуть сложности. Они коснутся и многих госорганов, которые не слишком оперативно обновляют ПО в своей инфраструктуре, не имея на это либо средств, либо квалифицированных специалистов.

Перспективы отключения сайта можно проверить на сайте, который создан специально под эту проверку: dnsflagday.net. Здесь надо ввести имя своего домена. Если вы увидите вот такую картинку – бояться нечего:

Вот при такой картинке владелец домена может выдохнуть: его сайт будет работать. Правда, не в полном объеме, и станет небезопасным для пользователей, поскольку будет легкой мишенью для хакеров:

А вот красные знаки – это все. Лучше побыстрее обновить ПО (на том же сайте есть инструкции для этого):

Кстати, некоторые межсетевые экраны могут блокировать DNS-пакеты длиной более 512 байт (с расширениями EDNS). Поэтому на правила межсетевых экранов тоже следует обратить внимание, чтобы не «слететь» в самый неподходящий момент.