强化DNS安全，三大公共DNS服务商将在2月1日测试EDNS协议

为强化DNS服务的验证，成立于2002年的全球互联网名称与数字地址分配机构（Internet Corporation for Assigned Names and Numbers，ICANN），在最近这几年，正不断推广DNS Security Extensions（DNSSEC），目标是提升网络的使用安全，要确保DNS的内容，不会在源头被修改，以及阻止黑客恶意移转DNS用户的流量，同时也让DNS的查询将更加安全。而在DNSSEC中，包含了两个重要关键技术，分别是数字签名与EDNS。

为了导入EDNS协议，最近Cloudflare、Google、IBM这三大公共DNS服务商，共同宣布将在2019年2月1日，测试其EDNS的符合性功能，并命名为DNS Flag Day。这也意谓着，在2月1日之后，支持EDNS协议的域名，上网将更加安全。而到现在还没有准备就绪的域名，将会受到影响，因为这些公共DNS，如Cloudflare（1.1.1.1）、Google（8.8.8.8）、IBM（9.9.9.9），可能因为无法顺利解析IP位址，或解析反应变慢，造成用户感受到上网速度变慢或无法连线。

对于域名管理者而言，若要确认自家的DNS设定，在DNS Flag Day的专属网站上，已经提供了域名检查的功能，可以检查是否受到影响。若是检测发现到问题时，可依照该网页的说明进行修正。关于检测失败的原因，问题可能出在DNS与防火墙，因此，要解决问题，建议将DNS升级到最新的稳定版本，然后再次进行测试，如果升级DNS后仍然失败的话，建议再检查本身的防火墙配置。

另一方面，关于这次三大公共DNS业者测试EDNS，也将会影响到一般使用者上网，如果用户使用这些业者提供的DNS服务，就要注意，上述用户如在2月1日当日发现网站无法连线时，可以更改使用其他DNS服务。

在因应方式上，有不少业者正在推广自家的DNS服务，例如百度的免费公共DNS（180.76.76.76），Public DNS（119.29.29.29，182.254.116.116）,114 DNS（114.114.114.114，114.114.115.115）,AliDNS（223.5.5.5，223.6.6.6）,SDNS（1.2.4.8，210.2.4.8）等等。

至于其他DNS服务商何时要启用更安全的EDNS，未来我们也将持续关注。

PS:

DNS Flag Day是一项针对权威DNS的、共识性的全球更新，旨在确保所有主要DNS基础架构都遵循新的EDNS标准（DNS扩展机制）。从2019年2月1日后，对于不支持EDNS协议的权威DNS服务器，在EDNS查询时可能会被Google、Cloudflare、Cisco/OpenDNS、ISC/BIND等公共DNS、递归DNS标记为服务不可用，从而导致域名无法正常解析。在非EDNS查询时域名正常解析，不受影响，中国大陆地区绝大多数为非EDNS查询。

可以使用测试网站（ https://dnsflagday.net/ ）验证是否符合EDNS标准规范。

Linux公社的RSS地址 ： https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址： https://www.linuxidc.com/Linux/2019-01/156671.htm