1. DNS/EDNS/DNS-flag-day/workarounds

workaroundsがなにを指すか

「EDNS queryがtimeoutした場合にEDNSをはずした問合せをすること」がなくなる。 (現在でもしていないものもある)

• 結果として、EDNS queryにまったく返事をしないサーバーは死んでいるとみなす、

ということになるというのだが、 これは正しいのだろうか。(例えば、TCPによる問合せしなおしはどうなのか。)

-- ToshinoriMaeno 2018-07-23 12:44:24

BIND 9.13.3 https://www.isc.org/blogs/bind-9-new-versions/

EDNS non-compliance
Workarounds for servers that misbehave when queried with EDNS have been removed,
because these broken servers and the workarounds for their noncompliance cause unnecessary delays, increase code complexity, and prevent deployment of new DNS features.
See https://dnsflagday.net for further details.

DNS software developers

The main change is that DNS software from vendors named above will interpret timeouts as sign of a network or server problem. 

Starting February 1st, 2019 there will be no attempt to disable EDNS as reaction to a DNS query timeout.

This effectivelly means that 
all DNS servers which do not respond at all to EDNS queries are going to be treated as dead.

EDNSつきqueryがtimeoutしても、EDNSをdisableすることはしない。(ここはUDPしか想定していないように読めるが)

TCPで問合せし直すはずだ。それも含めてのEDNSなのか。

• EDNSつきUDPqueryに対する返答が返ってこない場合とはサーバーが死んでいることを含むが、それだけではない。

• 経路がパケットを落としていることもある。この場合にTCPを試みないのは適切とは言えない。

-- ToshinoriMaeno 2018-07-23 00:33:40

https://gitlab.labs.nic.cz/knot/edns-zone-scanner/

edns-zone-scanner Scan DNS zones for EDNS compliance problems