Controle el nombre de su dominio y comprenda la magia de ‘Time to Live’

Dirk Jumpertz, responsable de Seguridad de EURid.

Si desea hacer temblar a sus expertos en informática, palidecer e incluso desmayarse, dígales que quiere trasladar el nombre de su dominio a otro registro. O transferir su servidor de correo a otro proveedor. O quizás renovar totalmente su sitio web corporativo y tenerlo reubicado el lunes a primerísima hora. Exija que NO haya interrupciones en la actividad y la histeria está garantizada. Parece sencillo ¿verdad? ¿Qué podría ir mal?

Antes de conocer la respuesta a esta pregunta, debemos indagar en la teoría del sistema de nombres de dominios.

Existen, básicamente, dos tipos de servidores de nombres, los que conocen la verdad a la hora de darle un nombre al dominio, los denominados servidores de nombres acreditados y los que buscan esa verdad, más conocidos como servidores a la caza del nombre o buscadores de soluciones recursivas.

Un ordenador de mesa, portátil, tableta o smartphone usará este último método siempre que el usuario pida algo por Internet. Si un usuario desea enviar un mensaje de correo electrónico, la aplicación deberá conectarse con la dirección IP de un servidor de correo y, para hacerlo, la máquina le pedirá a ese buscador de soluciones recursivas la dirección IP. No es nada nuevo, es una dirección DNS 101 básica.

El buscador recorrerá Internet en busca de la verdad y volverá con la dirección IP del servidor solicitado. El servidor de nombres acreditado aportará un valor adicional con la dirección IP, un número que representa el número de segundos que el buscador deberá recordar la respuesta antes de solicitar que se pida la misma información de nuevo.

Este concepto se denomina «almacenamiento en caché» y suele usarse para acelerar la búsqueda de elementos que no suelen cambiar con frecuencia. En el mundo de los DNS es un pilar necesario para que el usuario disfrute de una experiencia fluida y una mayor flexibilidad.

Ese número tiene un nombre: se conoce como TTL (abreviatura de Time To Live = tiempo de vida). Normalmente los valores son relativamente altos, ya que la información sobre el nombre del dominio tiende a ser bastante estática. 86 400 es un valor TTL que verá a menudo en archivos de zona; 86 400 segundos representa un día.

Entonces ¿qué podría ir mal? ¿Recuerda la migración del servidor de correo? ¿Qué ocurriría si el valor TTL fuese de 24 horas y los informáticos cambiasen la dirección IP del servidor de correo y actualizasen y recargasen el archivo de zona del nombre de su dominio? ¿Reconocería “Internet” el cambio y comenzaría a usar inmediatamente el nuevo servidor de correo?

La respuesta es NO, al menos no hasta que caducase el valor TTL, que en este caso sería 24 hasta que Internet, en su totalidad, asumiese el cambio. Mientras tanto estaría «en tierra de nadie» y los correos se enviarían al servidor de correo antiguo y al servidor de correo nuevo. Y no hay nada que se pueda hacer al respecto, aparte de capear el temporal. El correo se retrasará y, en algunos casos, podría incluso perder algunos mensajes.

Con un poco de preparación esto puede evitarse, ya que el valor TTL forma parte de la definición del archivo de su zona y, por tanto, se puede manipular. Basta con reducir el valor TTL antes de realizar el cambio en la práctica a un valor muy inferior como 600 (10 minutos). Este cambio debe hacerse 1 TTL antes del cambio planificado para permitir a Internet que reconozca el valor TTL una vez reducido. Una vez ejecutado el cambio, la incertidumbre solamente durará 10 minutos, reduciendo los potenciales inconvenientes a un nivel aceptable y manejable. Una vez completado el cambio, el valor TTL podrá volver a su valor original.

Los administradores que gestionan los DNS necesitan comprender los entresijos del valor TTL si realmente desean controlar sus archivos de zona, y gestionar los cambios de servidor de correo sin interrupciones, por supuesto.