DNS Flag Day: Keine Rücksicht mehr auf fehlerhafte DNS-Server

Ab 1. Februar wollen Anbieter von DNS-Software und Betreiber von Internetinfrastruktur aufhören, auf fehlerhafte DNS-Server Rücksicht zu nehmen. Wer die DNS-Erweiterung EDNS nicht unterstützt, soll zumindest mit einer korrekten Antwort reagieren.

Artikel veröffentlicht am , Hanno Böck
Der 1. Februar ist "DNS Flag Day" - in einer konzentrierten Aktion sollen fehlerhafte DNS-Server gezwungen werden, ihre Probleme in den Griff zu kriegen.
Der 1. Februar ist "DNS Flag Day" - in einer konzentrierten Aktion sollen fehlerhafte DNS-Server gezwungen werden, ihre Probleme in den Griff zu kriegen. (Bild: Public Domain / Montage: Golem.de)

Manche Webseiten, deren DNS-Server fehlerhaft arbeitet, haben bald ein Problem. Eine Reihe von DNS-Softwareprojekten und Internetdiensten will am 1. Februar Workarounds abschalten, die dafür sorgen, dass die Kommunikation mit fehlerhaften Servern funktioniert. Die Aktion nennt sich DNS Flag Day. Dabei geht es in erster Linie um das DNS-Erweiterungssystem EDNS.

Stellenmarkt
  1. IT Manager (m/w/d)
    softgarden e-recruiting gmbh, Berlin
  2. IT Customer Support / Help-Desk Agent (m/w/d) im Frontline-Support
    Compusoft Deutschland AG, Dresden, Schmallenberg
Detailsuche

Das originale DNS-Protokoll sah kein Hinzufügen von neuen Features vor. Mit EDNS (Extension Mechanism for DNS) wurde diese Möglichkeit 1999 eingeführt. Um dies zu ermöglichen, schickt eine DNS-Software, die EDNS unterstützt, eine Nachricht mit, die von alten DNS-Servern schlicht ignoriert werden soll. Somit ist - theoretisch - Abwärtskompatibilität gewährleistet.

Viele fehlerhafte DNS-Server

In der Praxis gibt es jedoch viele DNS-Server, die auf entsprechende Nachrichten nicht korrekt reagieren. Sie antworten auf eine DNS-Anfrage mit EDNS-Erweiterung entweder überhaupt nicht oder fehlerhaft.

DNS-Server haben daher diverse Workarounds eingebaut, um mit solch fehlerhaften Servern weiter kommunizieren zu können. So wird etwa bei einem Timeout mit EDNS oft schlicht noch einmal versucht, ob eine Anfrage ohne EDNS erfolgreich ist.

Golem Karrierewelt
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    08.-10.06.2022, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    09./10.06.2022, virtuell
Weitere IT-Trainings

Was auf der einen Seite dazu führt, dass Kompatibilität selbst mit alter, fehlerhafter Software gewährleistet bleibt, führt andererseits dazu, dass DNS-Software unnötig komplex ist und manche Operationen länger dauern als nötig. Daher sollen diese Workarounds jetzt in einer konzentrierten Aktion abgeschaltet werden. Die nächsten Versionen der Programme Bind, PowerDNS und Unbound werden dies umsetzen. Die Software Knot enthält bereits jetzt keine entsprechenden Workarounds.

Neben diesen Softwareprojekten unterstützen auch Firmen wie Google, Facebook und Cloudflare den DNS Flag Day und haben angekündigt, ihre eigene Infrastruktur entsprechend umzustellen.

Webseitenbetreiber sollten ihre Hosts testen

Für Webseitenbetreiber bedeutet das, dass sie jetzt prüfen sollten, ob ihre DNS-Server korrekt arbeiten. Einen entsprechenden Check gibt es auf der Webseite des DNS Flag Day, die dahinterstehende Software ist auf Gitlab verfügbar.

Einige Hosts werden nach der Umstellung überhaupt nicht mehr funktionieren. Es gibt aber auch eine Reihe von Grenzfällen. Die meisten Hosts nutzen mehrere DNS-Server. Wenn die Anfrage bei einem Server fehlschlägt, wird ein anderer versucht. Wer mehrere DNS-Server betreibt, von denen ein Teil korrekt arbeitet, hat weiterhin eine funktionierende Domain, jedoch werden DNS-Antworten schlicht oft länger dauern.

Generell gibt es nach wie vor keinen Zwang, EDNS zu unterstützen. Nur müssen DNS-Server, die EDNS nicht unterstützen, sich bei entsprechenden Anfragen korrekt verhalten und die Erweiterungsfelder ignorieren.

Neben fehlerhaften DNS-Servern können auch Firewalls zu fehlerhaftem Verhalten führen. So verweist die Webseite des DNS Flag Day etwa darauf, dass SRX-Firewalls von Juniper ein Feature haben, das sich DNS-ALG (Application Layer Gateway) nennt und das dazu führt, dass Pakete mit EDNS-Nachricht blockiert werden. Nutzern solcher Firewalls wird empfohlen, das entsprechende Feature abzuschalten. Die Firma F5 hat für zahlreiche Produkte Updates bereitgestellt, um die Kompatibilität mit EDNS zu gewährleisten.

Wir haben einige Seiten mit dem verfügbaren Tool geprüft. Während kleinere Kompatibilitätsprobleme häufiger auftreten, gibt es nur relativ wenige Seiten, die ernsthaftere Probleme haben und die nach dem 1. Februar unter Umständen nicht mehr auflösbar sind. Darunter fanden sich jedoch auch einige prominente Namen, etwa die Webseite von AOL oder des US-Telefonanbieters AT&T. In Deutschland betroffen sind unter den populären Webseiten die AOK, der TÜV Nord und der Mobilfunkanbieter PremiumSIM. Wir haben alle hier erwähnten betroffenen Seitenbetreiber informiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


jg (Golem.de) 24. Jan 2019

Nö, wir bezahlen nicht für Verlinkungen, freuen uns aber natürlich drüber. :) Gruß, Juliane

wiesi200 24. Jan 2019

Grundsätzlich ist hier die Formulierung absolut falsch. Ein Webserver braucht erst mal...

LordGurke 23. Jan 2019

TL;DR: Hat jemand seine eigenen Nameserver getestet und bekommt Probleme gemeldet, die...

franzbauer 23. Jan 2019

Drillisch hostet nicht die Domains. premiumsim, simplytel (simply), winsim usw. sind...



Aktuell auf der Startseite von Golem.de
Prehistoric Planet
Danke, Apple, für so grandiose Dinosaurier!

Musik von Hans Zimmer, dazu David Attenborough als Sprecher: Apples Prehistoric Planet hat einen Kindheitstraum zum Leben erweckt.
Ein IMHO von Marc Sauter

Prehistoric Planet: Danke, Apple, für so grandiose Dinosaurier!
Artikel
  1. Star Wars: Cal Kestis kämpft in Jedi Survivor weiter
    Star Wars
    Cal Kestis kämpft in Jedi Survivor weiter

    EA hat offiziell den Nachfolger zu Star Wars Jedi Fallen Order angekündigt. Hauptfigur ist erneut Cal Kestis mit seinem Roboterkumpel BD-1.

  2. Fahrgastverband Pro Bahn: Wo das 9-Euro-Ticket sicher gilt
    Fahrgastverband Pro Bahn
    Wo das 9-Euro-Ticket sicher gilt

    Die Farbe der Züge ist entscheidend, was bei der Reiseplanung in der Deutsche-Bahn-App wenig nützt. Dafür laufen Fahrscheinkontrollen ins Leere.

  3. Retro Gaming: Wie man einen Emulator programmiert
    Retro Gaming
    Wie man einen Emulator programmiert

    Warum nicht mal selbst einen Emulator programmieren? Das ist lehrreich und macht Spaß - wenn er funktioniert. Wie es geht, zeigen wir am Gameboy.
    Von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 evtl. bestellbar • Prime Video: Filme leihen für 0,99€ • Gigabyte RTX 3080 12GB günstig wie nie: 1.024€ • MSI Gaming-Monitor 32" 4K günstig wie nie: 999€ • Mindstar (u. a. AMD Ryzen 5 5600 179€, Palit RTX 3070 GamingPro 669€) • Days of Play (u. a. PS5-Controller 49,99€) [Werbung]
    •  /