menu
menu
logo
DNS Flag Day: серьёзных проблем не ожидается

DNS Flag Day: серьёзных проблем не ожидается

С момента изобретения протокола DNS прошло немало лет. В процессе развития сетевых технологий появилось расширение протокола – EDNS, которое, в частности, требуется для работы технологии DNSSEC, позволяющей избежать подмены адресной информации в DNS-ответах. DNS-серверы с неверно настроенным ПО могут не отвечать на EDNS-запросы – в таком случае резолвер может отправить повторный запрос, без EDNS.

Однако с 1 февраля 2019 года (DNS Flag Day) в новых версиях распространённых DNS-резолверов отключается поддержка «обходных механизмов», позволявших работать с DNS-серверами, которые не обеспечивают доступ с использованием EDNS. Обновлённые версии резолверов в этом случае повторных запросов отправлять не будут, что, в теории, может привести к недоступности некоторых зон DNS для поиска адресной информации. При этом проблемы возможны только при отсутствии какого-либо ответа, так как сервер, если он не поддерживает EDNS, должен отвечать сообщением об ошибке.

Каких-то критических проблем, обусловленных наступлением DNS Flag Day, в Рунете не ожидается по следующим причинам: массовая поддержка EDNS появилась более десяти лет назад, все современные версии ПО авторитативных серверов это расширение протокола поддерживают. Если имеющаяся конфигурация конкретного авторитативного сервера приводит к проблемам с расширенным протоколом, то обычно для EDNS доступен другой авторитативный сервер этой же зоны, то есть полной потери доступа не произойдёт. Возможно снижение скорости поиска в DNS, а вот полное отсутствие ответов на EDNS-запрос сразу всеми авторитативными серверами зоны встречается редко.

Важно отметить, что, так как изменение конфигурации связано с обновлением системного ПО, повсеместное одномоментное «отключение» невозможно в принципе. Обновления распространяются постепенно и в корректно настроенных вычислительных средах прежде всего обкатываются на тестовых конфигурациях. С DNS Flag Day связан нетипичный для DNS аспект: здесь существенное значение имеют настройки фильтров трафика и межсетевых экранов у провайдеров доступа: некорректные настройки могут сами по себе мешать прохождению DNS-ответов с EDNS (то есть в требуемом формате). Это будет приводить к недоступности системы доменных имён для клиентов данного провайдера даже в том случае, если программное обеспечение DNS настроено корректно.

Для предотвращения возможных проблем сетевым инженерам и системным администраторам следует убедиться, что авторитативные DNS-серверы корректно отвечают на EDNS-запросы, а ответы доставляются сетевым транспортом (для этого можно, например, воспользоваться утилитой dig). Важно проверить доступность из внешних сетей, обратить внимание на настройки фильтрации пакетов пограничными узлами (правила ACL и др.) и уточнить ограничения по количеству запросов, установленные на авторитативных серверах.

Подробнее – на сайте MSK-IX.
В России меняются требования к идентификации администраторов доменов в зонах .ru/.рф/.su
В России меняются требования к идентификации администраторов доменов в зонах .ru/.рф/.su
С 1 сентября 2026 года в России вводится обязательная идентификация администраторов доменов в зонах .ru, .рф и .su через портал «Госуслуги» (ЕСИА). Такая норма закреплена в Федеральном законе от 29.12.2025 № 569-ФЗ. С момента вступления в силу новых требований зарегистрировать домен или продлить существующий можно будет только после подтверждения личности с помощью верифицированного аккаунта на «Госуслугах».
ЦС ТЦИ внедрил протокол ACME и начал публичное тестирование сервиса
ЦС ТЦИ внедрил протокол ACME и начал публичное тестирование сервиса
Центр сертификации Технического центра Интернет (ЦС ТЦИ) внедрил поддержку протокола ACME для автоматизации выпуска TLS сертификатов и открыл публичное тестирование сервиса на отдельной инфраструктуре.
Российский бизнес заменяет зарубежные TLS‑сертификаты на решения ТЦИ
Российский бизнес заменяет зарубежные TLS‑сертификаты на решения ТЦИ
Центр сертификации ТЦИ фиксирует кратный рост спроса на отечественные TLS‑сертификаты. За последние 10 дней существенно увеличилось число заявок от корпоративных клиентов и запросов на wildcard‑сертификаты для защиты групп доменов внутри единой инфраструктуры.
ЦС ТЦИ расширил линейку сертификатов и поддержал новые требования CA/Browser Forum
ЦС ТЦИ расширил линейку сертификатов и поддержал новые требования CA/Browser Forum
Центр сертификации ТЦИ расширил линейку TLS-сертификатов. Теперь наряду с привычными вариантами на 90 и 365 дней пользователям доступны сертификаты сроком на 199 дней. Это соответствует новым требованиям организации CA/Browser Forum, которая с 15 марта 2026 года установила максимальный срок действия публичных TLS-сертификатов в 200 дней.

Контакты

г. Москва, улица 8 марта,
дом 1, строение 12 (БЦ Трио, первая башня)

+7 495 730-29-69
info@tcinet.ru

Клиентская служба

+7 495 730-29-70

vk-img ВКонтакте