DNS64 in TLD .CZ

This article was originally written for CZ.NIC blog (in czech): https://blog.nic.cz/2018/10/18/dns64-v-ceske-zone/

Domain Name System (DNS) is slowly recovering from rollover KSK key for DNSSEC. Currently, there is no evidence of significant problems caused by this change. It is very good for our national TLD .CZ because every other domain is secure by DNSSEC.

DNS64

Anyway, imagine that you want to have some services or even a whole office IPv6-only. There could be several motivation but these aren't probably strong enough:

  • we don't want to pay mor for IPv4 addresses,
  • we don't want to configure both IPv4 and IPv6 because the complexity grows and so a change of configuration mistake,
  • we build an internal infrastructure where it could be better to have filtered IPv6 than IPv4 ranges after NAT,
  • we want to test where we forgot or wrongly configured IPv6.

V průběhu budování takové IPv6-only sítě pravděpodobně zjistíme, že existuje určité (dle konkrétních požadavků různě velké) množství služeb, které protokol IPv6 neimplementují. Možných řešení je několik:

  • DNS64+NAT64
  • 464XLAT
  • HTTP a HTTPS proxy

Nás z hlediska DNSSECu bude zajímat právě první možnost a to konkrétně její část DNS64. Ta má na starosti DNS překlad pro záznamy, které mají pouze IPv4 adresu. V tomto případě DNS64 vytváří neexistující IPv6 záznam využívající NAT64, který se již postará o zbytek překladu pro konkrétní IPv4-only službu. DNS64 samozřejmě nemá možnost doplnit chybějící DNSSEC podpisy a proto tyto záznamy budou nevalidní.

DNS64-nekompatibilní domény

Přechodový mechanismus DNS64+NAT64 tedy není možné použít pro domény, které jsou zabezpečeny DNSSECem. Před dvěma lety napsala Jen Linkova článek Let’s talk about IPv6 DNS64 & DNSSEC, kde analyzovala, kolik takovýchto nekompatibilních domén je v prvním milionu světově nejčastěji navštěvovaných doménách (podle serveru Alexa).

Za dva roky se ovšem mohlo hodně změnit a proto jsem analýzu v srpnu 2018 opakoval a zároveň připojil analýzu pro naší TLD .CZ.

Alexa 1M 2016 1 Alexa 1M 2018 .CZ 2018
Počet domén 1 000 000 1 000 000 1 294 217
IPv6 5.7 % 18.0 % 30.2 %
DNSSEC 1.7 % 6.1 % 52.6 %
IPv4-only 94.3 % 79.5 % 63.1 %
DNS64-nekompatibilní 1.3 % 1.5 % 34.0 %

Závěr

Z dat a grafu je patrné, že počet domén zabezpečených DNSSECem a domén, které podporují protokol IPv6 roste podobně, i když DNSSEC se zavádí malinko rychleji a proto mírně roste i počet DNS64-nekompatibilních domén. Pro naši národní doménu, ale platí, že zavádění DNSSECu výrazně předbíhá zavádění IPv6 a tedy každá třetí doména s koncovkou .CZ není kompatibilní s přechodovým mechanismem DNS64.

To neznamená, že bychom měli na DNSSEC zanevřít, ale spíše nás to může motivovat k větší snaze o implementaci protokolu IPv6 a nebo k výběru jiného přechodového mechanismu než je NAT64+DNS64.


  1. Pro rok 2016 vycházím ze statistiky Jen Linkové. 

Comments

Comments powered by Disqus