<div dir="ltr"><p dir="ltr" style="color:rgba(0,0,0,0.87);font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:14px">As we previously announced, <a href="https://developers.google.com/speed/public-dns" style="color:rgb(41,98,255)">Google Public DNS</a> is in the process of enabling case randomization of DNS query names sent to authoritative nameservers. We have successfully deployed it in some regions in North America, Europe and Asia protecting the majority (90%) of DNS queries in those regions not covered by DNS over TLS.</p><p dir="ltr" style="color:rgba(0,0,0,0.87);font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:14px">We are still deploying this feature incrementally, location by location. This is slower than originally planned because of the carefulness and our estimate of global enabling is around March to April 2023. Meanwhile, we are monitoring nameserver compliance and actively maintaining an exception list that disables case randomization for observed non-supporting nameservers. While our exception list avoids issues with the majority of the problem servers for now, it may not get immediate updates for newly broken nameservers in the future. We strongly recommend that nameservers preserve the query case in the response or support TCP (as we retry over TCP if case randomization fails) as a fallback.</p><p dir="ltr" style="color:rgba(0,0,0,0.87);font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:14px">One subtle issue we’ve seen is that some servers exhibit sporadic case-randomization non-compliance for the same query parameters. They may appear to have a short-term response cache that can “replay” answers to previous or concurrent (differently) case-randomized queries.</p><span style="color:rgba(0,0,0,0.87);font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:14px">If you believe you have discovered name resolution failures with Google Public DNS due to case randomization, please file a bug in our </span><a href="https://developers.google.com/speed/public-dns/groups#issue_tracker" style="color:rgb(41,98,255);font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:14px">issue tracker</a><span style="color:rgba(0,0,0,0.87);font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:14px">. Let us know if there's any question via</span><span style="color:rgba(0,0,0,0.87);font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:14px"> </span><a href="https://developers.google.com/speed/public-dns/groups" style="text-decoration-line:none;color:rgb(41,98,255);font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:14px"><span style="text-decoration-line:underline">https://developers.google.com/speed/public-dns/groups</span></a><span style="color:rgba(0,0,0,0.87);font-family:Roboto,RobotoDraft,Helvetica,Arial,sans-serif;font-size:14px">.</span><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Aug 11, 2022 at 4:47 PM Tianhao Chi via dns-operations <<a href="mailto:dns-operations@dns-oarc.net">dns-operations@dns-oarc.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><br><br><br>---------- Forwarded message ----------<br>From: Tianhao Chi <<a href="mailto:chitianhao@google.com" target="_blank">chitianhao@google.com</a>><br>To: <a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>Cc: <br>Bcc: <br>Date: Thu, 11 Aug 2022 16:35:16 -0400<br>Subject: Google Public DNS plans to enable case randomization for cache poisoning protection<br><div dir="ltr"><p dir="ltr">Dear users and nameserver operators,</p><p dir="ltr">As part of our efforts to increase DNS cache poisoning protection for UDP queries, we are planning to enable case randomization of DNS query names sent to most authoritative nameservers (see our <a href="https://developers.google.com/speed/public-dns/docs/security#randomize_case" target="_blank"><u>security page description</u></a> of the feature and <a href="https://datatracker.ietf.org/doc/html/draft-vixie-dnsext-dns0x20-00" target="_blank">https://datatracker.ietf.org/doc/html/draft-vixie-dnsext-dns0x20-00</a>). We have been performing case randomization of query names since 2009 to a small set of chosen nameservers. This set of servers handled a minority of our query volume, so a year ago we started work on enabling case randomization by default. As part of this, we’ve identified a small set of nameservers (< 1000 distinct IPs) that do not handle case randomization correctly and have exempted these from case randomization. We are confident that case randomization will work without introducing significant increases in DNS query volume or resolution failures.</p><p dir="ltr">The case-randomized query name in the request will be expected to exactly match the name in the question section of the DNS server’s reply, including the case of each ASCII letter (A–Z and a–z). For example, if “ExaMplE.CoM” is the name sent in the request, the name in the question section of the response must also be “ExaMplE.CoM” rather than, e.g., “example.com.” Responses that fail to preserve the case of the query name may be dropped as potential cache poisoning attacks. Thus, nameservers that fail to preserve the query name in their response, or whose response to case-randomized requests is an unexpected error (SERVFAIL, NOTIMP, FORMERR, etc.) or a failure to respond, will negatively impact users' ability to resolve names in the domains they serve.</p><p dir="ltr">Generally, when nameservers mishandle case-randomized queries, we recommend asking the nameserver operator to correct their behavior. While our exception list will work around the problem for now, it may not get immediate updates for newly broken name servers.</p><p dir="ltr">We’ll have case randomization enabled in one or two regions starting on August 29th and enabled globally by the end of October. Meanwhile, we’ve already turned off case randomization to nameservers that we’ve identified as not handling it correctly. </p><p dir="ltr">If you believe you have discovered name resolution failures with Google Public DNS due to case randomization, please file a bug in our <a href="https://developers.google.com/speed/public-dns/groups#issue_tracker" target="_blank"><u>issue tracker</u></a> referencing this announcement.</p>Let us know if there's any question via <a href="https://developers.google.com/speed/public-dns/groups" target="_blank">https://developers.google.com/speed/public-dns/groups</a>. We've also posted this in our discussion group: <a href="https://groups.google.com/g/public-dns-discuss/c/aHSyiIlBfjo" target="_blank">https://groups.google.com/g/public-dns-discuss/c/aHSyiIlBfjo</a>.<br></div>
<br><br><br>---------- Forwarded message ----------<br>From: Tianhao Chi via dns-operations <<a href="mailto:dns-operations@dns-oarc.net" target="_blank">dns-operations@dns-oarc.net</a>><br>To: <a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>Cc: <br>Bcc: <br>Date: Thu, 11 Aug 2022 16:35:16 -0400<br>Subject: [dns-operations] Google Public DNS plans to enable case randomization for cache poisoning protection<br>_______________________________________________<br>
dns-operations mailing list<br>
<a href="mailto:dns-operations@lists.dns-oarc.net" target="_blank">dns-operations@lists.dns-oarc.net</a><br>
<a href="https://lists.dns-oarc.net/mailman/listinfo/dns-operations" rel="noreferrer" target="_blank">https://lists.dns-oarc.net/mailman/listinfo/dns-operations</a><br>
</blockquote></div>