Vérificateur global EDNS (Extension Mechanisms for DNS)
L'EDNS (Extension Mechanisms for DNS), formellement défini dans la RFC 6891, n'est pas un enregistrement de fichier de zone traditionnel. Il s'agit plutôt d'une modification structurelle du protocole DNS de base lui-même. Lorsque le DNS a été architecturé à l'origine dans les années 1980, le protocole dictait que toute requête exécutée sur le protocole User Datagram Protocol (UDP) sans état (stateless) devait être strictement limitée à un payload maximum de 512 octets. Pendant des décennies, cette limitation était suffisante pour transmettre des adresses IP basiques. Cependant, avec l'évolution d'internet, cette limite stricte est devenue un goulot d'étranglement architectural massif.
Surmonter la barrière UDP de 512 octets
L'introduction des exigences de l'infrastructure moderne — spécifiquement les adresses IPv6 de 128 bits et les signatures cryptographiques massives générées par DNSSEC — a abouti à des réponses DNS qui dépassaient régulièrement les 1 500 octets. Sans EDNS, un serveur faisant autorité tentant de renvoyer un payload volumineux via UDP est contraint de tronquer le paquet, de définir le bit "TC" (Truncated) dans l'en-tête, et de forcer le client à relancer complètement la requête via une connexion TCP avec état (stateful) plus lente. Ce processus de repli TCP (TCP fallback) introduit une latence sévère dans la résolution des applications et stresse les ressources du serveur de noms. L'EDNS résout cela en injectant un "pseudo-enregistrement OPT" dans l'en-tête DNS.
Le pseudo-enregistrement OPT et la négociation de tampon
L'enregistrement OPT n'existe pas dans un fichier de zone statique. Il est généré dynamiquement pendant la transaction active. Lorsqu'un résolveur conforme à l'EDNS interroge un serveur, il attache cet enregistrement OPT pour annoncer (advertise) sa taille maximale de payload UDP acceptable (couramment 1232 ou 4096 octets). Si le serveur faisant autorité prend en charge l'EDNS, il utilise cette taille de tampon négociée pour transmettre les payloads DNSSEC massifs en une seule transaction UDP ultra-rapide, contournant entièrement le lent TCP fallback.
Diagnostic des trous noirs réseau et des blocages de pare-feu
L'utilisation d'un vérificateur de conformité EDNS est une étape obligatoire pour le débogage réseau avancé. De nombreux pare-feu d'entreprise hérités, des systèmes de détection d'intrusion (IDS) obsolètes et des routeurs grand public mal configurés suppriment encore agressivement les paquets UDP entrants de plus de 512 octets, les interprétant comme des attaques par débordement de tampon ou des inondations UDP. Lorsque cela se produit, le client subit de graves délais d'attente DNS, entraînant une indisponibilité intermittente du site. De plus, l'EDNS introduit une télémétrie de routage avancée, telle que l'EDNS Client Subnet (ECS), qui permet aux résolveurs récursifs de transmettre un fragment de l'adresse IP de l'utilisateur au serveur faisant autorité, permettant aux CDN de router le trafic vers le centre de données géographique le plus proche avec une précision extrême.