Defaults.Exposed › Correções › Configuração de nameservers (diversidade e SOA)

Como corrigir Configuração de nameservers (diversidade e SOA)

Os seus nameservers são o diretório que diz a toda a internet onde encontrar o seu site e o seu e-mail. Se estiverem todos na mesma rede e ela falhar, o seu negócio desaparece da internet no mesmo instante — sem site, sem e-mail, nada — e uma definição de relógio descuidada nesses servidores pode deixar as alterações que faz presas durante dias.

O essencial para o seu negócio: Se todos os nameservers do seu domínio viverem numa única rede, uma falha ou um ataque a essa rede deita o seu site E o seu e-mail abaixo em conjunto — continua a pagar a colaboradores e a anúncios enquanto nenhum cliente o consegue alcançar. Separadamente, temporizadores SOA mal configurados podem deixar as suas alterações de DNS (um novo servidor, uma mudança de fornecedor de e-mail, um redirecionamento de emergência) a propagar durante dias em vez de horas.

Quanto isto lhe pode custar

• A única rede onde todos os seus nameservers estão tem uma tarde má — uma falha ou um ataque DDoS — e o seu site e o seu e-mail desaparecem ambos ao mesmo tempo. Os clientes recebem páginas de erro, a sua caixa de entrada de vendas devolve as mensagens e não há nada que o seu responsável de site possa fazer a não ser esperar que a rede de outra pessoa recupere.
• A equipa de segurança de um cliente importante faz uma verificação de fornecedor, vê todos os seus nameservers num só fornecedor sem redundância e anota o seu domínio como um ponto único de falha — atrito num contrato que de outra forma teria ganho.
• Muda para um novo alojamento web ou troca de fornecedor de e-mail, mas um temporizador «refresh» errado no seu registo SOA faz outros servidores de DNS continuarem a entregar o seu endereço antigo durante dias — por isso alguns clientes aterram num site morto e o seu e-mail divide-se em dois.
• Um incidente de segurança força-o a redirecionar tráfego com urgência, mas os seus temporizadores SOA dizem ao mundo para guardar em cache os seus registos antigos durante uma semana, por isso a alteração que fez há uma hora ainda não chegou a metade da internet enquanto o problema continua.
• Os seus dois nameservers são tecnicamente dois nomes, mas resolvem para o mesmo bastidor na mesma rede — por isso a redundância que julga ter é uma ilusão, e uma única falha continua a deitar tudo abaixo.

Por que importa. Cada visita ao seu site e cada e-mail que lhe enviam começa com uma consulta aos seus nameservers. São a fundação sobre a qual assenta o resto da sua presença online. Se essa fundação não tem redundância, uma única falha derruba tudo de uma vez; se os seus valores de temporização estão errados, cada alteração que faz demora a surtir efeito — exatamente quando menos o pode permitir.

O que é isto, em palavras simples

Antes de alguém conseguir alcançar o seu site ou enviar-lhe um e-mail, o computador tem de fazer uma pergunta simples: «onde vive, de facto, este domínio?» Os servidores que respondem a essa pergunta são os seus nameservers. São a entrada de diretório de toda a sua presença online — a primeiríssima coisa que cada visitante e cada e-mail toca, antes de o seu site ou a sua caixa de entrada sequer entrarem em jogo.

Esta página cobre duas partes de acertar esse diretório:

1. Diversidade — tem pelo menos dois nameservers, e assentam em partes genuinamente separadas da rede, para que uma única falha não os possa silenciar todos de uma vez?
2. O registo SOA — um pequeno registo de «início de autoridade» que contém os valores de temporização que controlam quanto tempo o resto da internet confia e guarda em cache as suas respostas de DNS. Acerte mal os temporizadores e cada alteração que faz demora mais a chegar ao mundo.

Nenhuma é glamorosa. Ambas são fundações. Quando estão certas, nunca pensa nelas; quando estão erradas, fica a saber no pior momento possível.

O que isto lhe pode custar

• Tudo offline de uma vez. Se todos os seus nameservers vivem numa só rede e essa rede tem uma falha ou é atingida por um ataque DDoS, o seu site e o seu e-mail apagam-se em conjunto. Isto não é teórico — o ataque a um único fornecedor de DNS já deitou empresas grandes e bem-apetrechadas para fora da internet por boa parte de um dia. Com redundância entre redes, uma falha é sobrevivível; sem ela, é total.

• Um negócio perdido numa verificação de fornecedor. A equipa de segurança ou de compras de um cliente maior faz uma verificação antes de assinar, vê todos os seus nameservers concentrados num só fornecedor sem alternativa e assinala o seu domínio como ponto único de falha. É o tipo de marca pequena e evitável que acrescenta atrito a um contrato que de outra forma ganharia.

• Alterações que não pegam. Muda de alojamento web, muda de fornecedor de e-mail ou precisa de redirecionar tráfego à pressa. Um temporizador «refresh» ou «expire» errado no seu registo SOA faz outros servidores de DNS continuarem a servir a sua resposta antiga durante dias. Metade dos seus clientes aterra no site novo, metade no morto; algum e-mail flui para o fornecedor antigo, algum para o novo. A alteração que fez há uma hora ainda não está concluída.

• Uma emergência que não consegue terminar depressa. Durante um incidente de segurança precisa de apontar o tráfego para fora de um servidor comprometido agora. Se os seus temporizadores SOA disseram ao mundo para guardar em cache os seus registos durante uma semana, a sua correção rasteja pela internet enquanto o problema continua a morder.

• Redundância que não é real. Tem dois nameservers, por isso assume que está coberto — mas ambos resolvem para o mesmo bastidor na mesma rede. A primeira falha de hardware deita tudo abaixo, e a rede de segurança com que contava nunca lá esteve.

O que isto é, na realidade

Diversidade de nameservers. O seu domínio deve listar pelo menos dois nameservers e, idealmente, eles devem assentar em caminhos de rede genuinamente independentes — não apenas dois nomes a apontar para a mesma máquina. Nos bastidores, o nome de cada nameserver resolve para um ou mais endereços IP, e o que realmente importa é se esses endereços ocupam partes diferentes do encaminhamento da internet. Um fornecedor de DNS sério espalha os seus nameservers por muitos blocos de rede e locais separados pelo mundo, por isso até dois nameservers do mesmo fornecedor lhe dão redundância real e independente. O caso de falha é o oposto: um único alojamento pequeno em que ambos os «nameservers» são a mesma máquina, de modo que uma falha é total.

Uma nota para o leitor técnico: a nossa verificação conta os seus registos NS e depois analisa quanta diversidade de rede genuína assenta por trás deles. O sinal primário é a dispersão dos blocos de rede IP distintos para os quais os nameservers resolvem (grosso modo, intervalos /16 para IPv4 e /32 para IPv6), com o número de nomes de fornecedor distintos como recurso de apoio. Isto credita deliberadamente os fornecedores hiperescala Anycast — Cloudflare, Google, AWS Route 53, Azure DNS — que anunciam uma identidade de rede a partir de muitos caminhos de encaminhamento globalmente separados e, por isso, entregam diversidade real mesmo a partir de uma única marca. Ter menos de dois nameservers pontua zero nesta verificação e é tratado como severidade elevada, porque é um ponto único de falha não mitigado para todo o domínio.

O registo SOA. Toda a zona de DNS tem exatamente um registo Start of Authority. Nomeia o nameserver primário e o contacto administrativo, carrega um número de série que incrementa a cada alteração e — a parte que importa para o seu negócio — contém quatro temporizadores:

• Refresh — com que frequência os nameservers secundários reverificam o primário em busca de alterações. Bom intervalo: cerca de 1 a 24 horas (3600–86 400 segundos).
• Retry — quão cedo tentar de novo se um refresh falhar. Bom intervalo: cerca de 5 a 60 minutos (300–3600 segundos).
• Expire — quanto tempo os secundários continuam a servir os seus registos se não conseguirem alcançar o primário de todo. Bom intervalo: cerca de 1 a 4 semanas (604 800–2 419 200 segundos).
• TTL mínimo — o piso de quanto tempo as respostas (incluindo respostas de «este nome não existe») são guardadas em cache. Deve ser um valor positivo sensato; 300 segundos é uma escolha comum.

O que é «bom»: um SOA que existe, tem um contacto administrativo válido e carrega temporizadores dentro desses intervalos. Valores fora dos intervalos não são fatais — mas ou atrasam as suas alterações (temporizadores demasiado longos) ou carregam os seus nameservers desnecessariamente (demasiado curtos). Um SOA em falta ou genuinamente partido é o caso mais grave.

Como corrigir (gratuito, ~15 minutos)

Esta parte é para quem gere o seu domínio ou DNS — se não for o senhor, entregue-lhe esta secção. A correção é gratuita; só cobramos para monitorizar que se mantém corrigida.

Passo 1 — Garanta que tem pelo menos dois nameservers em infraestrutura diversa.

1. Verifique o que tem hoje. Corra dig NS oseudominio.com (ou use qualquer ferramenta web de «consulta de DNS») e leia os nameservers. Dois ou mais é o mínimo.
2. Se só tem um, ou ambos estão num só alojamento pequeno, mova o seu DNS para um fornecedor que lhe dê redundância por omissão. Praticamente todos os fornecedores sérios o fazem:
   • Cloudflare — atribui dois nameservers espalhados pela sua rede Anycast global automaticamente quando adiciona um domínio.
   • AWS Route 53 — cada zona alojada recebe quatro nameservers em redes Route 53 separadas.
   • Google Cloud DNS / Microsoft 365 / Azure DNS — provisionam de forma semelhante vários nameservers em infraestrutura independente.
3. Para mudar, defina os nameservers do seu domínio no seu registrar (onde comprou o domínio — p. ex. GoDaddy, Namecheap) para os que o seu novo fornecedor de DNS lhe der. Esta alteração pode levar 24 a 48 horas a propagar totalmente.
4. Para resiliência à prova de bala, empresas maiores ou de maior risco podem correr DNS secundário de um segundo fornecedor independente (p. ex. Cloudflare + Route 53, ou NS1 + Cloudflare). Para a maioria das pequenas empresas isto é opcional — um único fornecedor de boa reputação já lhe dá redundância real entre redes.

Passo 2 — Verifique (e, se necessário, corrija) os seus temporizadores SOA.

1. Corra dig SOA oseudominio.com e leia os valores de refresh, retry, expire e TTL mínimo.
2. Compare-os com os intervalos acima. Na esmagadora maioria dos casos, o seu fornecedor de DNS já definiu valores por omissão sensatos e não há nada a fazer.
3. Se um valor estiver fora do intervalo, corrija-o onde o seu DNS está alojado:
   • Em fornecedores geridos (Cloudflare, Route 53, Google, Azure) o SOA é largamente tratado por si; em geral ajusta-o através das definições de DNS do fornecedor ou do apoio, em vez de o editar à mão.
   • Num nameserver auto-gerido (BIND, PowerDNS) edite a linha SOA no ficheiro de zona diretamente e recarregue a zona — lembrando-se de incrementar o número de série para que os secundários peguem na alteração.
4. Após qualquer alteração, volte a correr as consultas para confirmar que tanto a lista de nameservers como os temporizadores SOA parecem corretos.

Erros comuns

• Tratar «dois nomes» como «duas redes». Dois nomes de nameserver que resolvem para a mesma máquina ou bastidor são um ponto único de falha disfarçado. O que importa são caminhos de rede independentes, não a contagem de nomes.
• Assumir que mais é sempre melhor, sem diversidade. Cinco nameservers todos num só alojamento frágil não são mais seguros do que um. A diversidade vence a quantidade.
• Definir os temporizadores de forma demasiado agressiva. Baixar o refresh ou o TTL mínimo do SOA ao máximo para «tornar as alterações instantâneas» só martela os seus nameservers e pode piorar as falhas, com pouco benefício real. Os valores por omissão sensatos já equilibram velocidade e carga.
• Definir o expire demasiado baixo. Se os secundários deixarem de servir a sua zona cedo demais durante uma falha do primário, um soluço recuperável torna-se uma falha total. Mantenha o expire na ordem das semanas.
• Editar uma zona à mão e esquecer o número de série. Em nameservers auto-geridos, os secundários só pegam nas alterações quando o número de série do SOA aumenta. Altere registos mas deixe o número de série intacto e a sua «correção» nunca propaga.
• Deixar o DNS no valor básico por omissão do registrar do domínio. O DNS integrado de alguns registrars é uma configuração única e mínima. Mover o DNS para um fornecedor a sério dá-lhe normalmente redundância e temporizadores SOA sensatos num só movimento.

Conclusão

Os seus nameservers e o seu registo SOA são a fundação sobre a qual tudo o resto assenta. Dois nameservers em redes genuinamente separadas significam que uma única falha não pode deitar todo o seu negócio offline de uma vez; temporizadores SOA sensatos significam que as alterações que faz chegam de facto ao mundo prontamente. Ambos são gratuitos de acertar, ambos estão normalmente já em boa forma no momento em que está num fornecedor de DNS adequado, e ambos valem uma verificação de dois minutos — porque o dia em que importam é o dia em que menos pode permitir-se que estejam errados.

Perguntas frequentes