Приближение DNS Flag Day всколыхнуло Рунет

Эксперты разошлись по мнениях о том, как повлияет на работу российских сайтов смена протокола DNS, в частности — на готовность государственных интернет-сервисов к столь масштабной смене устаревшего протокола.

На днях в Сети началось активное обсуждение DNS flag day, который наступит 1 февраля текущего года и ознаменует собой смену очередной эпохи существования Интернета. В этот день произойдёт переход на новые стандарты протокола DNS, а старые попросту перестанут поддерживаться. 

Бизнес-консультант компании Cisco Алексей Лукацкий в своём блоге на Хабре провел небольшой ликбез на тему того, что собственно собой представляет этот самый DNS flag day, а также вкратце описал те риски, с которыми могут столкнуться сайты, не перешедшие на новый протокол. И эта публикация стала причиной достаточно оживлённой дискуссии, в которой можно наблюдать кардинально противоположные мнения относительно последствий этого «судного дня всея Интернета».

Лукацкий напомнил, что как таковой протокол DNS был создан в начале 80-х годов — естественно, с учетом технологий того времени, поэтому с тех пор в протокол добавлялись новые функции и возможности. В 1999 году была опубликована первая версия расширений EDNS0 (Extension Mechanism for DNS), которая «позволила снять некоторые ограчения, например, на размер некоторых полей флагов, кодов возврата и т.п.», отметил эксперт Cisco. При этом в Интернет продолжали существовать DNS-сервера, которые не поддерживали и не поддерживают EDNS, создавая тем самым определенные сложности при взаимодействии, необходимости обеспечивать обратную совместимость, что в свою очередь приводит как к замедлению работу всей системы DNS, так и к невозможности в полной мере реализовать все новые возможности EDNS.

«Но этой вакханалии пришел конец — с 1-го февраля неподдерживающие стандарт EDNS сервера будут недоступны и попасть на них будет невозможно. Будут внесены изменения в самое популярное ПО, отвечающее за работу DNS — Bind, Knot Resolver, PowerDNS и Unbound, которое будет принимать только соответствующий стандарту EDNS трафик. Трафик со старых и необновленных серверов будет рассматриваться как нелегитимный и эти сервера обслуживаться не будут, что может привести к недоступности доменов, которые «висят» на этих серверах», — пишет Лукацкий.

Для большинства компаний, уверен эксперт, DNS Flag Day пройдет незамеченным, так как многие DNS-провайдеры уже обновляют или обновили свое ПО до необходимых версий:

«Сложности могут возникнуть у тех компаний, кто самостоятельно поддерживает собственные DNS-сервера, а также многих госорганов, которые не слишком оперативно обновляют ПО в своей инфраструктуре, не имея на это либо средств, либо квалифицированных специалистов. В результате с 1-го февраля сайты многих ведомств могут стать недоступны или столкнуться с проблемами с доступом».

.

Многие пользователи в Рунете пришли к выводу, что неполадки, которые вследствие безалаберности некоторых госслужащих возникнут у целой армии государственных сайтов, могут быть впоследствии использованы в качестве аргумента в поддержку активно проталкиваемого в Госдуме законопроекта №608767-7 «о суверенизации Рунета».

Проверить наличие соответствующих проблем у сайта можно с помощью сервиса https://dnsflagday.net. И сразу же были найдены достаточно серьёзные проблемы с данным протоколом у сайта «Центра реагирования на компьютерные инциденты в информационных системах органов государственной власти Российской Федерации» cert.gov.ru, Роскомнадзора rkn.gov.ru, Госуслуг gosuslugi.ru. РосКомСвобода также проверила ряд сайтов российских госведомств и крупных компаний. Например, сервис пророчит большие проблемы сайту ФСБ:

А вот админы сайта российского МВД заранее озаботились обновлением протоколов:

Удивляет некоторая беспечность представителей телеком-бизнеса:

Как уверяют специалисты, при наличии подобной проблемы в работе сайта могут быть некоторые сбои. Та же самая ситуация с сайтами РИА и ТАСС:

Совсем не всё в порядке и у сайта «национального достояния» России:

Проверить соответствие того или иного сайта новым стандартам DNS можно и другими сервисами:

If you are concerned about #DNSflagday and you want to test your domains, there is https://t.co/NBXbv8fNqb and https://t.co/6qtvh2x4Fc, but since y'all keep hammering those sites, you can also just use dig, like yourself. Instructions: https://t.co/4FFzZGnguM

— ISC (@ISCdotORG) January 16, 2019

Пользователи в комментариях к посту Лукацкого набросали ещё один нескончаемый список проблемных сайтов, так или иначе связанных с работой госведомств.

Журналист «Эха Москвы» Александр Плющев в своём Telegram-канале обозначил серьёзность проблемы, заявив:

«…дело серьезное, масштабы велики: там и банки, и почта, и бог знает что.

Так вот, квалификацию политиков, их понимание интернета и обстановку, в которой все это происходит мы с вами отлично знаем. Глазом не моргнут, расскажут, что нас отключили от интернета или устроили масштабную кибератаку.

Впрочем, есть еще 10 дней, чтобы обновиться».

.

Он также проверил и нашел проблемы с протоколом у сайтов nalog.ru, cikrf.ru и многих других, при этом подчеркнув — «у kremlin.ru всё хорошо».

Пиратская партия России иронизирует в своём Telegram-канале: «Хэй, граждане, запасайтесь popcorn’ом! На днях нам угрожали отключением интернета извне… У нас осталось 10 дней! Нет, конечно не полностью, и не отключение, и не рунета, а только части устаревших сайтов типа», после чего приводит свой список сайтов, где некоторые адреса совпадают с уже вышеуказанными, но есть и другие — например:

• cbr.ru — Fatal error detected;
• mil.ru — Serious problem detected;
• pochta.ru — Serious problem detected.

«Почему они, возможно, не будут работать? — продолжает ППР. — …Трафик со старых и необновленных серверов будет рассматриваться как нелегитимный и эти сервера обслуживаться не будут, что может привести к недоступности доменов, которые «висят» на этих серверах. Запишу-ка я интернет на дискету».

Отвечая на вопрос, насколько серьезную проблему поднял Лукацкий и кого она может коснуться, координатор РосКомСвободы по международному сотрудничеству Александр Исавнин ответил так:

«Серьёзность: на уровне серьёзности невовремя сделанного ТО на машину.

Коснётся: тех кто не следит за обновлениями своего ПО».

.

Он также отметил, что «dnsflagday» анонсирован ещё в мае 2018, и там не планировалось “отключать” кого-то. «Предполагается, что начиная с этой даты производители (открытого в основном) ПО для ДНС-серверов поменяют «умолчальные» настройки для поддержки улучшений протокола на более строгие, что возможно, форсирует поддержку этих улучшений. То есть чтобы 1 февраля что-то перестало работать, кто-то должен обновить ПО и при этом ещё не обращать внимание на проблемы пользователей», — говорит Исавнин.

Кроме этого, по словам Александра, специалисты прогосударственных НКО «Координационный центр домена RU», а также государственных «Технического центра Интернет» и MSK-IX участвуют в работе международных рабочих групп, связанных с обсуждением операционных проблем протокола ДНС, «и даже проводили заседание такой группы в Москве прошлым летом (сразу после анонса)». По каким-то своим причинам эти специалисты предпочли не распространять в России эту информацию, удивляется он.

В общей в массе, считает Исавнин, «это страшилка от технарей, обычно никто в интернете себя так не ведёт, бизнес придерживает активность технарей и дружественно смотрит на пользователей, даже если пользователи — госорганы».

На вопрос, каким образом данное событие скажется на альтернативных системах DNS, эксперт ответил, что произойдёт это как и у всех остальных, «поскольку протокол и ПО используются одинаковые». «Альтернативность технически выражается в замене одной из строчек конфигурации ПО (и да, вы можете сделать это на своём компе)», — отметил он.

Может ли это стать причиной конфликта между определёнными кругами бизнеса или даже государствами? Александр допускает — вполне возможно:

«Причиной конфликта в РФ может стать что угодно, с какими угодно последствиями. В более развитых экономиках если какой-то бизнес пойдёт на конфликт с интересами пользователей — его место займет другой бизнес.

Ну а с учетом истерии, разведённой депутатами и чиновниками СМИ готовы (не разобравшись до конца) начать педалировать любую истерию связанную с интернетом.

Будет неплохо если операторы и пользователи интернета по результатам этой истерии будут внимательнее относиться к используемым ими технологиям и ПО».

.

«Должен заметить, что все сильно сложнее и не так разрушительно, — пишет в своём Telegram-канале глава DiPHOST Филипп Кулин. — Интернет создавался в качестве устойчивой сети. И чтобы его «завалить» нужны какие-то специальные действия. Например, законопроект «об автономной сети». И то не хватит».

«Что произойдёт?» — продолжает он. В основные DNS-сервера, в программное обеспечение, будут внесены изменения, запрещающие использовать устаревшую версию протокола DNS. Т.е. все ещё обновиться должны, чтобы это сработало. С другой стороны, поддержка только старой версии DNS в 2019 году — это или ошибка конфигурации, или ошибка реализации каких-то специальных фильтров.

С российскими же сайтами всё достаточно «сложно». «Например, функционирование части сайтов из gov.ru обеспечивается Спецсвязью, — отмечает Кулин. — Естественно там субподряд на субподряде и субподрядом погоняет. DNS для многих gov.ru отдан RU-CENTER и неким E-Soft (m-10.ru). Кто из них первичен — неизвестно. Сервера E-Soft или древние, или кривые, или у них «особые требования к качеству обслуживания, что обычно означает — всё криво и через одно место, с очень крутыми бесполезными фильтрами. И вот у E-Soft сервера через пень-колоду работают. То TCP нет, то UDP (!), то вообще не отвечает, то EDNS не поддерживает (не ясно как это они сделали в 2019 году). С другой стороны, давайте посмотрим на сайт rkn.gov.ru — он и так не работает у 20% сетей в стране (защита от атак у них такая). То, что не будут работать пара DNS-серверов из 5-6 — никто не заметит».

В конце своего Telegram-поста глава DiPHOST приходит к следующему выводу:

«Но на самом деле — это новость о наплевательском отношении к работе и гипер неэффективности работы всей государственной машины РФ. Во всяком случае в области интернета, или, как это сейчас модно именовать — Цифровой Экономики».

.

Технический директор РосКомСвободы Станислав Шакиров считает DNS Flag Day вполне рядовым событием, поэтому ему не совсем понятен вдруг возникший уровень нервозности. Если у кого-то возникнут проблемы, то перечень таких сервисов, уверен Станислав, будет минимален. «Да и те, — добавляет он, — быстро исправятся».

Времени для подготовки к переходу на новый протокол у всех было достаточно, говорит он:

«Другое дело, что люди обычно относятся к этому несерьёзно. Но весь «крупняк» вроде Amazon и Cloudflare в курсе, поэтому всё пройдёт практически незаметно».

.

«С альтернативными DNS сложно сказать, что будет, — продолжает Станислав. — Если они обновили свой софт в соответствии с изменениями (а я думаю, что обновили), то некоторые сайты и у них могут не работать до тех пор, пока админы этих сайтов не «прочухаются». Если не обновились, то тех, кто их использует, вряд ли затронет происходящее».