Pues si señores, en Mayo 5 se viene otro chicharrón.
Resulta que los servidores dns raíz van a moverse al estandar DNSSEC, actualmente solamente 1 esta con ese estandard.
DNSSEC es una extensión del estandard dns que agrega una firma criptográfica a la respuesta, lo cual garantiza que la confiabilidad al retornar la ip de un host, eliminando la posibilidad de los ataques por dns poisoning que hacen que a un usuario le llegue la ip de otro host, haciendo que se conecte digamos a un sitio falso donde se le pueda capturar las credenciales de acceso.
Esta extensión hará que las respuestas de los DNS raiz sean 4 veces mas largas de los que solían ser (2Kb), y muy seguramente algunos firewalls, IDS, Routers, etc bloqueen los resultados pensando que es algún tipo de anomalía.
Desde Mayo 5, los resultados solo serán paquetes de pruebas, desde Junio 1 serán los de verdad.
Enlaces de interés:
Como usar dig para diagnosticar el problema:
https://www.dns-oarc.net/oarc/services/replysizetest
Aplicacion para buscar problemas por este cambio:
http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues
Resulta que los servidores dns raíz van a moverse al estandar DNSSEC, actualmente solamente 1 esta con ese estandard.
DNSSEC es una extensión del estandard dns que agrega una firma criptográfica a la respuesta, lo cual garantiza que la confiabilidad al retornar la ip de un host, eliminando la posibilidad de los ataques por dns poisoning que hacen que a un usuario le llegue la ip de otro host, haciendo que se conecte digamos a un sitio falso donde se le pueda capturar las credenciales de acceso.
Esta extensión hará que las respuestas de los DNS raiz sean 4 veces mas largas de los que solían ser (2Kb), y muy seguramente algunos firewalls, IDS, Routers, etc bloqueen los resultados pensando que es algún tipo de anomalía.
Desde Mayo 5, los resultados solo serán paquetes de pruebas, desde Junio 1 serán los de verdad.
Enlaces de interés:
Como usar dig para diagnosticar el problema:
https://www.dns-oarc.net/oarc/services/replysizetest
Aplicacion para buscar problemas por este cambio:
http://labs.ripe.net/content/testing-your-resolver-dns-reply-size-issues
Comentarios