Abo
  • Services:

DNS Flag Day: Keine Rücksicht mehr auf fehlerhafte DNS-Server

Ab 1. Februar wollen Anbieter von DNS-Software und Betreiber von Internetinfrastruktur aufhören, auf fehlerhafte DNS-Server Rücksicht zu nehmen. Wer die DNS-Erweiterung EDNS nicht unterstützt, soll zumindest mit einer korrekten Antwort reagieren.

Artikel veröffentlicht am , Hanno Böck
Der 1. Februar ist "DNS Flag Day" - in einer konzentrierten Aktion sollen fehlerhafte DNS-Server gezwungen werden, ihre Probleme in den Griff zu kriegen.
Der 1. Februar ist "DNS Flag Day" - in einer konzentrierten Aktion sollen fehlerhafte DNS-Server gezwungen werden, ihre Probleme in den Griff zu kriegen. (Bild: Public Domain / Montage: Golem.de)

Manche Webseiten, deren DNS-Server fehlerhaft arbeitet, haben bald ein Problem. Eine Reihe von DNS-Softwareprojekten und Internetdiensten will am 1. Februar Workarounds abschalten, die dafür sorgen, dass die Kommunikation mit fehlerhaften Servern funktioniert. Die Aktion nennt sich DNS Flag Day. Dabei geht es in erster Linie um das DNS-Erweiterungssystem EDNS.

Stellenmarkt
  1. über duerenhoff GmbH, Raum München
  2. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm

Das originale DNS-Protokoll sah kein Hinzufügen von neuen Features vor. Mit EDNS (Extension Mechanism for DNS) wurde diese Möglichkeit 1999 eingeführt. Um dies zu ermöglichen, schickt eine DNS-Software, die EDNS unterstützt, eine Nachricht mit, die von alten DNS-Servern schlicht ignoriert werden soll. Somit ist - theoretisch - Abwärtskompatibilität gewährleistet.

Viele fehlerhafte DNS-Server

In der Praxis gibt es jedoch viele DNS-Server, die auf entsprechende Nachrichten nicht korrekt reagieren. Sie antworten auf eine DNS-Anfrage mit EDNS-Erweiterung entweder überhaupt nicht oder fehlerhaft.

DNS-Server haben daher diverse Workarounds eingebaut, um mit solch fehlerhaften Servern weiter kommunizieren zu können. So wird etwa bei einem Timeout mit EDNS oft schlicht noch einmal versucht, ob eine Anfrage ohne EDNS erfolgreich ist.

Was auf der einen Seite dazu führt, dass Kompatibilität selbst mit alter, fehlerhafter Software gewährleistet bleibt, führt andererseits dazu, dass DNS-Software unnötig komplex ist und manche Operationen länger dauern als nötig. Daher sollen diese Workarounds jetzt in einer konzentrierten Aktion abgeschaltet werden. Die nächsten Versionen der Programme Bind, PowerDNS und Unbound werden dies umsetzen. Die Software Knot enthält bereits jetzt keine entsprechenden Workarounds.

Neben diesen Softwareprojekten unterstützen auch Firmen wie Google, Facebook und Cloudflare den DNS Flag Day und haben angekündigt, ihre eigene Infrastruktur entsprechend umzustellen.

Webseitenbetreiber sollten ihre Hosts testen

Für Webseitenbetreiber bedeutet das, dass sie jetzt prüfen sollten, ob ihre DNS-Server korrekt arbeiten. Einen entsprechenden Check gibt es auf der Webseite des DNS Flag Day, die dahinterstehende Software ist auf Gitlab verfügbar.

Einige Hosts werden nach der Umstellung überhaupt nicht mehr funktionieren. Es gibt aber auch eine Reihe von Grenzfällen. Die meisten Hosts nutzen mehrere DNS-Server. Wenn die Anfrage bei einem Server fehlschlägt, wird ein anderer versucht. Wer mehrere DNS-Server betreibt, von denen ein Teil korrekt arbeitet, hat weiterhin eine funktionierende Domain, jedoch werden DNS-Antworten schlicht oft länger dauern.

Generell gibt es nach wie vor keinen Zwang, EDNS zu unterstützen. Nur müssen DNS-Server, die EDNS nicht unterstützen, sich bei entsprechenden Anfragen korrekt verhalten und die Erweiterungsfelder ignorieren.

Neben fehlerhaften DNS-Servern können auch Firewalls zu fehlerhaftem Verhalten führen. So verweist die Webseite des DNS Flag Day etwa darauf, dass SRX-Firewalls von Juniper ein Feature haben, das sich DNS-ALG (Application Layer Gateway) nennt und das dazu führt, dass Pakete mit EDNS-Nachricht blockiert werden. Nutzern solcher Firewalls wird empfohlen, das entsprechende Feature abzuschalten. Die Firma F5 hat für zahlreiche Produkte Updates bereitgestellt, um die Kompatibilität mit EDNS zu gewährleisten.

Wir haben einige Seiten mit dem verfügbaren Tool geprüft. Während kleinere Kompatibilitätsprobleme häufiger auftreten, gibt es nur relativ wenige Seiten, die ernsthaftere Probleme haben und die nach dem 1. Februar unter Umständen nicht mehr auflösbar sind. Darunter fanden sich jedoch auch einige prominente Namen, etwa die Webseite von AOL oder des US-Telefonanbieters AT&T. In Deutschland betroffen sind unter den populären Webseiten die AOK, der TÜV Nord und der Mobilfunkanbieter PremiumSIM. Wir haben alle hier erwähnten betroffenen Seitenbetreiber informiert.



Anzeige
Hardware-Angebote
  1. 349,00€ (inkl. Call of Duty: Black Ops 4 & Fortnite Counterattack Set)
  2. 119,90€
  3. 216,50€

jg (Golem.de) 24. Jan 2019 / Themenstart

Nö, wir bezahlen nicht für Verlinkungen, freuen uns aber natürlich drüber. :) Gruß, Juliane

wiesi200 24. Jan 2019 / Themenstart

Grundsätzlich ist hier die Formulierung absolut falsch. Ein Webserver braucht erst mal...

LordGurke 23. Jan 2019 / Themenstart

TL;DR: Hat jemand seine eigenen Nameserver getestet und bekommt Probleme gemeldet, die...

franzbauer 23. Jan 2019 / Themenstart

Drillisch hostet nicht die Domains. premiumsim, simplytel (simply), winsim usw. sind...

Kommentieren


Folgen Sie uns
       


Samsung Galaxy Watch Active - Hands on

Samsungs neue Smartwatch Galaxy Watch Active richtet sich an sportliche Nutzer. Auf eine drehbare Lünette wie bei den vorigen Modellen müssen Käufer aber verzichten.

Samsung Galaxy Watch Active - Hands on Video aufrufen
Klimaschutz: Energieausweis für Nahrungsmittel
Klimaschutz
Energieausweis für Nahrungsmittel

Dänemark will ein Klimalabel für Lebensmittel. Es soll Auskunft über den CO2-Fußabdruck geben und dem Kunden Orientierung zu Ökofragen liefern.
Ein Bericht von Daniel Hautmann

  1. Standard Cognition Konkurrenz zu kassenlosen Amazon-Go-Supermärkten eröffnet
  2. Amazon-Go-Konkurrenz Microsoft arbeitet am kassenlosen Lebensmittel-Einkauf

Honor View 20 im Test: Schluss mit der Wiederverwertung
Honor View 20 im Test
Schluss mit der Wiederverwertung

Mit dem View 20 weicht Huawei mit seiner Tochterfirma Honor vom bisherigen Konzept ab, altgediente Komponenten einfach neu zu verpacken: Das Smartphone hat nicht nur erstmals eine Frontkamera im Display, sondern auch eine hervorragende neue Hauptkamera, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Huawei Honor View 20 mit 48-Megapixel-Kamera kostet ab 570 Euro
  2. Huawei Honor 10 Lite mit kleiner Notch kostet 250 Euro
  3. Huawei Honor View 20 hat die Frontkamera im Display

Far Cry New Dawn im Test: Die Apokalypse ist chaotisch, spaßig und hat Pay to Win
Far Cry New Dawn im Test
Die Apokalypse ist chaotisch, spaßig und hat Pay to Win

Grizzly frisst Bandit, Buggy rammt Grizzly: Far Cry New Dawn zeigt eine wunderbar chaotische Postapokalypse, die gerade bei der Geschichte und dem Schwierigkeitsgrad viel besser macht als der Vorgänger. Schade, dass die bunte Welt von Mikrotransaktionen getrübt wird.
Ein Test von Oliver Nickel

  1. Far Cry New Dawn angespielt Das gleiche Chaos im neuen Gewand
  2. New Dawn Ubisoft setzt Far Cry 5 postapokalyptisch fort

    •  /