Mudanças no comportamento do DNS


Mudanças nos servidores de nome .com/.net/.edu em preparação para DNSSEC

Em 1º de março de 2010, a Verisign fez duas mudanças que afetam o comportamento de servidores de nomes autoritários para as zonas .com, .net e .edu ([a-m].gtld-servers.net). As mudanças são um pré-requisito para a implementação do DNSSEC nessas três zonas. As duas mudanças são
Comportamento de nova referência e Cola não é mais promovido a status autoritário.

Comportamento de nova referência 

No passado, quando consultados sobre um registro A ou AAAA servindo como cola (um registro de endereço em ou abaixo de registros NS em um ponto de delegação), os servidores de nomes autoritário para .com e .net respondiam com o registro cola na seção de resposta. No entanto, a resposta não era marcada como autoritária, ou seja, o bit AA não era definido. Apesar de este comportamento estar de acordo com os padrões do DNS, servidores autoritários recentes não respondiam desta forma. Em vez disso, quando consultados sobre um nome em ou abaixo de um ponto de delegação, servidores autoritários recentes respondiam com uma referência para uma zona delegada. Este comportamento também era suportado pelos padrões do DNS.

Os servidores [a-m].gtld-servers.net agora mudaram para este último comportamento de referência: consultas por registros cola resultam em referências, em vez de respostas não autoritários.

Note que esta mudança afeta a resolução de certos domínios sob .com e .net que dependem um do outro. Por exemplo, a seguinte configuração de zonas "example.com" e "example.net" mutuamente dependentes funcionavam bem no passado:

example.com. NS ns1.example.net.
example.com. NS ns2.example.net.

example.net. NS ns1.example.com.
example.net. NS ns2.example.com.

Esses dois domínios eram configurados em um "ciclo": todos os servidores de example.com estão no domínio example.net e todos os servidores de example.net estão no domínio example.com. Tal configuração cíclica costumava resolver, pois [a-m].gtld-servers.net eram autoritários para ambas as zonas .com e .net e porque esses servidores retornavam consultas para cola como respostas não autoritárias, como descrito acima.

Para ilustrar exatamente por que esta configuração funcionava, considere as etapas que um resolvedor iterativo (a porção de um servidor de nomes recursivo que envia consultas) seguiria para resolver quaisquer dados em "www.example.com":

  • O resolvedor iterativo consulta um nome de servidor autoritário .com sobre "www.example.com" e recebe uma referência para "example.com" listando somente servidores de nome em "example.net".
  • Mesmo se a referência incluir registros A para "ns1.example.net" e "ns2.example.net" na seção adicional da mensagem de DNS, resolvedores iterativos modernos ignoram esses registros como uma defesa contra envenenamento de cache.
  • Tendo descartado os registros A para "ns1.example.net" e "ns2.example.net", o resolvedor iterativo agora tem os nomes, mas nenhum endereço para servidores de nomes de "example.com". Ele deverá suspender temporariamente a consulta de "www.example.com" para procurar o endereço de um dos servidores de nomes de "example.com". Vamos presumir que ele decida resolver "ns1.example.net".
  • O resolvedor iterativo eventualmente consulta um servidor de nomes autoritário .net para os registros A de "ns1.example.net". Com o comportamento atual de referência de [a-m].gtld-servers.net, o servidor .net devolve uma resposta não autoritária para o registro A de "ns1.example.net". O resolvedor iterativo usa este endereço para entrar em contato com este servidor de nomes de "example.com" e resolver "www.example.com".

No entanto, desde 1º de março de 2010, o servidor .net não devolve o registro A para "ns1.example.net"; em vez disso, ele devolve uma referência para "example.net". Mas lembre-se de que todos os servidores de nomes "example.net" estão no domínio "example.com". O único motivo pelo qual o resolvedor iterativo tenta resolver "ns1.example.net" agora é para resolver a consulta inicial, "www.example.com", que, obviamente, também está no domínio "example.com". Portanto, com cada domínio dependendo um do outro, a resolução não é mais bem-sucedida.

A Verisign criou duas listas de domínios .com e .net que podem ser afetados por esta mudança:

Lista 1: Domínios participando em ciclos

Domínios nesta lista são mutuamente interdependentes, conforme descrito acima. Por exemplo, dado o cenário descrito acima, ambos "example.com" e "example.net" estariam na lista nº 1.

Lista 2: Domínios que dependem exclusivamente de domínios em ciclos

Domínios nesta lista não são ativamente parte de um ciclo, como aqueles da lista nº 1. Em vez disso, todos os domínios na lista nº 2 usam exclusivamente servidores de nomes de domínios que sejam parte de um ciclo. Em outras palavras, um domínio na lista nº 2 tem todos os seus servidores de nomes de um ou mais domínios na lista nº 1. Continuando o exemplo acima, se o domínio "foo.com" tivesse servidores de nomes "ns1.example.com" e "ns2.example.com", então "foo.com" apareceria na lista nº 2.

Se um domínio aparecer em uma das duas listas, a mudança de 1º de março exigiria que pelo menos um de seus servidores de nome fosse alterado para interromper o ciclo (para domínios na lista nº #1) ou remover a dependência do domínio em um ciclo (para domínios na lista nº 2).

Voltar ao topo

Cola não é mais promovido a status autoritário 

No sistema de registro .com/.net, um domínio pode ser colocado em um status de suspensão administrativa. Um domínio suspenso não é publicado: os registros NS delegando o domínio são removidos da zona .com ou .net. Por exemplo, empresas de registro de domínio algumas vezes colocam um domínio como suspenso se estiver prestes a expirar, mas o solicitante do registro não respondeu às solicitações de renovação, ou se estiver sendo usado para atividade maliciosa.

Antes da mudança, quando um domínio era colocado como suspenso, seus registros NS eram removidos da zona, mas não os registros A e AAAA de servidores de nomes naquele domínio. Por exemplo, considere se o domínio "example.com" existisse no registro juntamente com o servidor de nomes "ns.example.com". (Uma observação importante: se a zona "example.com" propriamente dita usa ou não "ns.example.com" como um dos servidores de nome autoritário é irrelevante para o comportamento descrito aqui. O ponto importante é que "ns.example.com" está no domínio "example.com", ou seja, abaixo dele no espaço de nome do DNS.)

Antigamente, se o domínio "example.com" fosse colocado como suspenso, os registros NS que o delegavam eram removidos da zona .com. Os registros A e AAAA para "ns.example.com" permaneciam na zona. De fato, como esses registros não estavam mais abaixo de um ponto de delegação, eles eram promovidos para se tornarem dados autoritários.

Desde 1º de março de 2010, quando um domínio fica suspenso, os registros NS delegando o domínio são removidos da zona e os registros A e AAAA para servidores de nome abaixo do domínio não são mais promovidos para status autoritário. Esses registros A e AAAA não são, na verdade, removidos: apesar de não serem devolvidos quando consultados diretamente, eles aparecem na seção adicional das referências que os citam.

No exemplo acima, se "example.com" fosse suspenso, seus registros NS seriam removidos da zona. Mas, se o domínio "example.net" usar "ns.example.com" como um servidor de nomes, uma resposta de referência a "example.net" incluiria os registros A e AAAA para "ns.example.com" na seção adicional.

Se tiver perguntas sobre essas mudanças, entre em contato com o grupo de atendimento ao cliente de registro da Verisign.

Voltar ao topo


PRECISA DE MAIS INFORMAÇÕES?

  • +1-703-948-3200