Abo
  • IT-Karriere:

DNS Flag Day: Keine Rücksicht mehr auf fehlerhafte DNS-Server

Ab 1. Februar wollen Anbieter von DNS-Software und Betreiber von Internetinfrastruktur aufhören, auf fehlerhafte DNS-Server Rücksicht zu nehmen. Wer die DNS-Erweiterung EDNS nicht unterstützt, soll zumindest mit einer korrekten Antwort reagieren.

Artikel veröffentlicht am , Hanno Böck
Der 1. Februar ist "DNS Flag Day" - in einer konzentrierten Aktion sollen fehlerhafte DNS-Server gezwungen werden, ihre Probleme in den Griff zu kriegen.
Der 1. Februar ist "DNS Flag Day" - in einer konzentrierten Aktion sollen fehlerhafte DNS-Server gezwungen werden, ihre Probleme in den Griff zu kriegen. (Bild: Public Domain / Montage: Golem.de)

Manche Webseiten, deren DNS-Server fehlerhaft arbeitet, haben bald ein Problem. Eine Reihe von DNS-Softwareprojekten und Internetdiensten will am 1. Februar Workarounds abschalten, die dafür sorgen, dass die Kommunikation mit fehlerhaften Servern funktioniert. Die Aktion nennt sich DNS Flag Day. Dabei geht es in erster Linie um das DNS-Erweiterungssystem EDNS.

Stellenmarkt
  1. KDO Service GmbH, Oldenburg
  2. TÜV SÜD Gruppe, München

Das originale DNS-Protokoll sah kein Hinzufügen von neuen Features vor. Mit EDNS (Extension Mechanism for DNS) wurde diese Möglichkeit 1999 eingeführt. Um dies zu ermöglichen, schickt eine DNS-Software, die EDNS unterstützt, eine Nachricht mit, die von alten DNS-Servern schlicht ignoriert werden soll. Somit ist - theoretisch - Abwärtskompatibilität gewährleistet.

Viele fehlerhafte DNS-Server

In der Praxis gibt es jedoch viele DNS-Server, die auf entsprechende Nachrichten nicht korrekt reagieren. Sie antworten auf eine DNS-Anfrage mit EDNS-Erweiterung entweder überhaupt nicht oder fehlerhaft.

DNS-Server haben daher diverse Workarounds eingebaut, um mit solch fehlerhaften Servern weiter kommunizieren zu können. So wird etwa bei einem Timeout mit EDNS oft schlicht noch einmal versucht, ob eine Anfrage ohne EDNS erfolgreich ist.

Was auf der einen Seite dazu führt, dass Kompatibilität selbst mit alter, fehlerhafter Software gewährleistet bleibt, führt andererseits dazu, dass DNS-Software unnötig komplex ist und manche Operationen länger dauern als nötig. Daher sollen diese Workarounds jetzt in einer konzentrierten Aktion abgeschaltet werden. Die nächsten Versionen der Programme Bind, PowerDNS und Unbound werden dies umsetzen. Die Software Knot enthält bereits jetzt keine entsprechenden Workarounds.

Neben diesen Softwareprojekten unterstützen auch Firmen wie Google, Facebook und Cloudflare den DNS Flag Day und haben angekündigt, ihre eigene Infrastruktur entsprechend umzustellen.

Webseitenbetreiber sollten ihre Hosts testen

Für Webseitenbetreiber bedeutet das, dass sie jetzt prüfen sollten, ob ihre DNS-Server korrekt arbeiten. Einen entsprechenden Check gibt es auf der Webseite des DNS Flag Day, die dahinterstehende Software ist auf Gitlab verfügbar.

Einige Hosts werden nach der Umstellung überhaupt nicht mehr funktionieren. Es gibt aber auch eine Reihe von Grenzfällen. Die meisten Hosts nutzen mehrere DNS-Server. Wenn die Anfrage bei einem Server fehlschlägt, wird ein anderer versucht. Wer mehrere DNS-Server betreibt, von denen ein Teil korrekt arbeitet, hat weiterhin eine funktionierende Domain, jedoch werden DNS-Antworten schlicht oft länger dauern.

Generell gibt es nach wie vor keinen Zwang, EDNS zu unterstützen. Nur müssen DNS-Server, die EDNS nicht unterstützen, sich bei entsprechenden Anfragen korrekt verhalten und die Erweiterungsfelder ignorieren.

Neben fehlerhaften DNS-Servern können auch Firewalls zu fehlerhaftem Verhalten führen. So verweist die Webseite des DNS Flag Day etwa darauf, dass SRX-Firewalls von Juniper ein Feature haben, das sich DNS-ALG (Application Layer Gateway) nennt und das dazu führt, dass Pakete mit EDNS-Nachricht blockiert werden. Nutzern solcher Firewalls wird empfohlen, das entsprechende Feature abzuschalten. Die Firma F5 hat für zahlreiche Produkte Updates bereitgestellt, um die Kompatibilität mit EDNS zu gewährleisten.

Wir haben einige Seiten mit dem verfügbaren Tool geprüft. Während kleinere Kompatibilitätsprobleme häufiger auftreten, gibt es nur relativ wenige Seiten, die ernsthaftere Probleme haben und die nach dem 1. Februar unter Umständen nicht mehr auflösbar sind. Darunter fanden sich jedoch auch einige prominente Namen, etwa die Webseite von AOL oder des US-Telefonanbieters AT&T. In Deutschland betroffen sind unter den populären Webseiten die AOK, der TÜV Nord und der Mobilfunkanbieter PremiumSIM. Wir haben alle hier erwähnten betroffenen Seitenbetreiber informiert.



Anzeige
Top-Angebote
  1. 14,97€
  2. 107,00€ (Bestpreis!)
  3. 419,00€
  4. 79,00€

jg (Golem.de) 24. Jan 2019

Nö, wir bezahlen nicht für Verlinkungen, freuen uns aber natürlich drüber. :) Gruß, Juliane

wiesi200 24. Jan 2019

Grundsätzlich ist hier die Formulierung absolut falsch. Ein Webserver braucht erst mal...

LordGurke 23. Jan 2019

TL;DR: Hat jemand seine eigenen Nameserver getestet und bekommt Probleme gemeldet, die...

franzbauer 23. Jan 2019

Drillisch hostet nicht die Domains. premiumsim, simplytel (simply), winsim usw. sind...


Folgen Sie uns
       


Pedelec HNF-Nicolai SD1 Urban ausprobiert

Wir sind das Pedelec eine Woche lang zur Probe gefahren und waren besonders vom Motor angetan.

Pedelec HNF-Nicolai SD1 Urban ausprobiert Video aufrufen
Raumfahrt: Galileo-Satellitennavigation ist vollständig ausgefallen
Raumfahrt
Galileo-Satellitennavigation ist vollständig ausgefallen

Seit Donnerstag senden die Satelliten des Galileo-Systems keine Daten mehr an die Navigationssysteme. SAR-Notfallbenachrichtigungen sollen aber noch funktionieren. Offenbar ist ein Systemfehler in einer Bodenstation die Ursache. Nach fünf Tagen wurde die Störung behoben.


    In eigener Sache: Golem.de bietet Seminar zu TLS an
    In eigener Sache
    Golem.de bietet Seminar zu TLS an

    Der Verschlüsselungsexperte und Golem.de-Redakteur Hanno Böck gibt einen Workshop zum wichtigsten Verschlüsselungsprotokoll im Netz. Am 24. und 25. September klärt er Admins, Pentester und IT-Sicherheitsexperten in Berlin über Funktionsweisen und Gefahren von TLS auf.

    1. In eigener Sache Zweiter Termin für Kubernetes-Seminar
    2. Leserumfrage Wie können wir dich unterstützen?
    3. In eigener Sache Was du schon immer über Kubernetes wissen wolltest

    Transport Fever 2 angespielt: Wachstum ist doch nicht alles
    Transport Fever 2 angespielt
    Wachstum ist doch nicht alles

    Wesentlich mehr Umfang, bessere Übersicht dank neuer Benutzerführung und eine Kampagne mit 18 Missionen: Das Schweizer Entwicklerstudio Urban Games hat Golem.de das Aufbauspiel Transport Fever 2 vorgestellt - bei einer Bahnfahrt.
    Von Achim Fehrenbach

    1. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
    2. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle
    3. Bright Memory angespielt Brachialer PC-Shooter aus China

      •  /