Cambios de comportamiento de DNS

Cambios en los servidores de nombres .com, .net y .edu en preparación para las DNSSEC

El 1 de marzo de 2010, Verisign hizo dos cambios que afectaron el comportamiento de los servidores de nombres autorizados de las zonas .com, .net y .edu ([a-m].gtld-servers.net). Los cambios son un requisito previo obligatorio para implementar las DNSSEC en estas tres zonas. Estos cambios son:
Nuevo procedimiento de derivación y el registro de adherencia ya no se asciende al estado autorizado.

Nuevo procedimiento de derivación 

Antes, cuando se buscaba un registro A o AAAA existente que sirviera de adherencia (un registro de dirección en los registros de servidores de nombres (NS) o debajo de ellos, en un punto de delegación), los servidores de nombres autorizados para .com y .net respondían con el registro de adherencia en la sección de respuesta. Sin embargo, la respuesta no se marcaba como autorizada (en otras palabras, no se establecía el bit AA). Si bien este comportamiento cumplía con las normas del DNS, los servidores autorizados más actuales no respondían de esta forma. En cambio, cuando se les solicitaba un nombre en o bajo un punto de delegación, los servidores autorizados más actuales respondían con una derivación a la zona delegada. Este procedimiento también era compatible con las normas de DNS.

Los servidores [a-m].gtld-servers.net ahora han cambiado al segundo comportamiento de derivación: las consultas sobre registros de adherencia se responden con derivaciones en lugar de respuestas no autorizadas.

Note que este cambio afecta a la resolución de ciertos dominios dentro de .com y .net que dependen unos de otros. Por ejemplo, la siguiente configuración de las zonas interdependientes "ejemplo.com" y "ejemplo.net", antes funcionaba correctamente:

ejemplo.com NS ns1.ejemplo.net.
ejemplo.com NS ns2.ejemplo.net.

ejemplo.net NS ns1.ejemplo.com.
ejemplo.net NS ns2.ejemplo.com.

Estos dos dominios se configuraron en un "ciclo": todos los servidores de ejemplo.com están en el dominio de ejemplo.net y todos los servidores de ejemplo.net están en el dominio de ejemplo.com. Esta configuración cíclica lograba una resolución correcta porque [a-m].gtld-servers.net estaba autorizado para ambas zonas, .com y .net, y porque estos servidores devolvían las consultas de registro de adherencia como respuestas no autorizadas (como se describió anteriormente).

Para ilustrar exactamente por qué esta configuración funcionaba, considere los pasos que un sistema de resolución iterativo (la sección de un servidor de nombres recursivo que envía las consultas) seguía para resolver cualquier dato en "www.ejemplo.com":

  • El sistema de resolución iterativo le hace una consulta a un servidor de nombres autorizado .com pidiéndole "www.ejemplo.com" y recibe una derivación a "ejemplo.com", listando únicamente los servidores de nombre en "ejemplo.net".
  • Aunque la derivación incluye registros A para "ns1.ejemplo.net" y "ns2.ejemplo.net" en la sección adicional del mensaje DNS, los sistemas de resolución iterativos modernos ignoran estos registros como forma de defensa ante la infección del caché.
  • Tras descartar los registros A para "ns1.ejemplo.net" y "ns2.ejemplo.net", el sistema de resolución iterativo pasa a tener los nombres pero no las direcciones de los servidores de nombres "ejemplo.com". El sistema debe suspender temporalmente la consulta sobre "www.ejemplo.com" para buscar la dirección de uno de los servidores de nombre de "ejemplo.com". Supongamos que elige resolver "ns1.ejemplo.net".
  • El sistema de resolución iterativo consulta a un servidor de nombres autorizado .net sobre los registros A de "ns1.ejemplo.net". Con el comportamiento de derivación actual de [a-m].gtld-servers.net, el servidor .net devuelve una respuesta no autorizada para el registro A de "ns1.ejemplo.net". El sistema de resolución iterativo usa esta dirección para contactar a este servidor de nombres "ejemplo.com" y resuelve "www.ejemplo.com".

Sin embargo, desde el 1 de marzo de 2010, el servidor .net no devuelve el registro A para "ns1.ejemplo.net"; en cambio, devuelve una derivación a "ejemplo.net". Pero recuerde que todos los servidores de nombre "ejemplo.net" están en el dominio "ejemplo.com". La única razón por la que el sistema de resolución iterativa está intentando resolver ahora "ns1.ejemplo.net" es para resolver la consulta inicial, "www.ejemplo.com", también en el dominio "ejemplo.com", obviamente. Así, con cada dominio dependiente del otro, ya no se puede alcanzar exitosamente una resolución.

Verisign ha creado dos listas de dominios .com y .net a las cuales puede afectar este cambio:

Lista nro. 1: dominios que participan en ciclos

Los dominios de esta lista son mutuamente interdependientes, como se describió anteriormente. Por ejemplo, dada la situación descrita anteriormente, tanto "ejemplo.com" como "ejemplo.net" estarían en la lista nro. 1.

Lista nro. 2: dominios que dependen exclusivamente de los dominios en ciclos

Los dominios en esta lista no son parte activa de un ciclo como los de la lista nro. 1. En cambio, todos los dominios de la lista nro. 2 usan exclusivamente servidores de nombre de dominios que son parte de un ciclo. En otras palabras, un dominio de la lista nro. 2 tiene todos sus servidores de nombre en uno o más dominios de la lista nro. 1. Siguiendo el ejemplo anterior, si el dominio "foo.com" tenía servidores de nombre "ns.1ejemplo.com" y "ns2.ejemplo.com", entonces "foo.com" aparecería en la lista nro. 2.

Si un dominio aparece en una de las dos listas, el cambio del 1 de marzo requerirá que al menos uno de sus servidores de nombre se cambien, ya sea para romper el ciclo (para los dominios de la lista nro. 1) o para que se elimine la dependencia del dominio en un ciclo (para los dominios de la lista nro. 2).

El registro de adherencia ya no se asciende al estado autorizado 

En el sistema de registros .com y .net, un dominio se puede poner en estado de espera administrativo. Un dominio en espera no se publica: los registros NS que delegan el dominio se eliminan de la zona .com o .net. Por ejemplo, a veces los registradores ponen en espera a un dominio si está a punto de caducar, pero el registrante no ha respondido los pedidos de renovación, o si el dominio está siendo usado para actividades malintencionadas.

Antes del cambio, cuando un dominio era puesto en espera, sus registros NS se eliminaban de la zona pero no se eliminaba ninguno de los registros A y AAAA de los servidores de nombres de ese dominio. Por ejemplo, considere cómo hubiese sido si el dominio "ejemplo.com" existía en el registro junto con el servidor de nombres "ns.ejemplo.com". (Nota importante: que la zona "ejemplo.com" use realmente "ns.ejemplo.com" como uno de sus servidores de nombres autorizados es irrelevante para el comportamiento aquí descrito. Lo que importa es que "ns.ejemplo.com" está en el dominio "ejemplo.com", esto es, debajo de él en el espacio de nombres del DNS).

Antes, si el dominio "ejemplo.com" era puesto en espera, los registros NS que lo delegaban se eliminaban de la zona .com. Los registros A y AAAA para "ns.ejemplo.com" quedaban en la zona. De hecho, debido a que estos registros ya no se encontraban bajo un punto de delegación, se los ascendía para que fueran datos autorizados.

Desde el 1 de marzo de 2010, cuando se pone en espera un dominio, los registros NS que delegan el dominio se eliminan de la zona, y los registros A y AAAA para los servidores de nombres bajo ese dominio ya no se ascienden al estado autorizado. Estos registros A y AAAA no se borran: si bien no se muestran directamente en una consulta, sí se muestran en la sección adicional de derivaciones que hacen referencia a ellos.

En el ejemplo anterior, si "ejemplo.com" pasara a estar en espera, se borrarían de la zona sus registros NS. Pero si el dominio "ejemplo.net" usa "ns.ejemplo.com" como servidor de nombre, una respuesta de derivación a "ejemplo.net" incluirá los registros A y AAAA para "ns.ejemplo.com" en la sección adicional.

Si tiene alguna pregunta sobre estos cambios, comuníquese con el equipo de atención al cliente para registros de Verisign.

Volver al principio