DNS Flag Day: Keine Rücksicht mehr auf fehlerhafte DNS-Server

Ab 1. Februar wollen Anbieter von DNS-Software und Betreiber von Internetinfrastruktur aufhören, auf fehlerhafte DNS-Server Rücksicht zu nehmen. Wer die DNS-Erweiterung EDNS nicht unterstützt, soll zumindest mit einer korrekten Antwort reagieren.

Artikel veröffentlicht am , Hanno Böck
Der 1. Februar ist "DNS Flag Day" - in einer konzentrierten Aktion sollen fehlerhafte DNS-Server gezwungen werden, ihre Probleme in den Griff zu kriegen.
Der 1. Februar ist "DNS Flag Day" - in einer konzentrierten Aktion sollen fehlerhafte DNS-Server gezwungen werden, ihre Probleme in den Griff zu kriegen. (Bild: Public Domain / Montage: Golem.de)

Manche Webseiten, deren DNS-Server fehlerhaft arbeitet, haben bald ein Problem. Eine Reihe von DNS-Softwareprojekten und Internetdiensten will am 1. Februar Workarounds abschalten, die dafür sorgen, dass die Kommunikation mit fehlerhaften Servern funktioniert. Die Aktion nennt sich DNS Flag Day. Dabei geht es in erster Linie um das DNS-Erweiterungssystem EDNS.

Stellenmarkt
  1. Softwareentwickler Backend (m/w/d)
    eLearning Manufaktur GmbH, Kleve, Düsseldorf (Home-Office möglich)
  2. Key User Finance (m/w/d)
    Dr. Willmar Schwabe Business Services GmbH & Co. KG, Karlsruhe-Durlach
Detailsuche

Das originale DNS-Protokoll sah kein Hinzufügen von neuen Features vor. Mit EDNS (Extension Mechanism for DNS) wurde diese Möglichkeit 1999 eingeführt. Um dies zu ermöglichen, schickt eine DNS-Software, die EDNS unterstützt, eine Nachricht mit, die von alten DNS-Servern schlicht ignoriert werden soll. Somit ist - theoretisch - Abwärtskompatibilität gewährleistet.

Viele fehlerhafte DNS-Server

In der Praxis gibt es jedoch viele DNS-Server, die auf entsprechende Nachrichten nicht korrekt reagieren. Sie antworten auf eine DNS-Anfrage mit EDNS-Erweiterung entweder überhaupt nicht oder fehlerhaft.

DNS-Server haben daher diverse Workarounds eingebaut, um mit solch fehlerhaften Servern weiter kommunizieren zu können. So wird etwa bei einem Timeout mit EDNS oft schlicht noch einmal versucht, ob eine Anfrage ohne EDNS erfolgreich ist.

Was auf der einen Seite dazu führt, dass Kompatibilität selbst mit alter, fehlerhafter Software gewährleistet bleibt, führt andererseits dazu, dass DNS-Software unnötig komplex ist und manche Operationen länger dauern als nötig. Daher sollen diese Workarounds jetzt in einer konzentrierten Aktion abgeschaltet werden. Die nächsten Versionen der Programme Bind, PowerDNS und Unbound werden dies umsetzen. Die Software Knot enthält bereits jetzt keine entsprechenden Workarounds.

Neben diesen Softwareprojekten unterstützen auch Firmen wie Google, Facebook und Cloudflare den DNS Flag Day und haben angekündigt, ihre eigene Infrastruktur entsprechend umzustellen.

Webseitenbetreiber sollten ihre Hosts testen

Für Webseitenbetreiber bedeutet das, dass sie jetzt prüfen sollten, ob ihre DNS-Server korrekt arbeiten. Einen entsprechenden Check gibt es auf der Webseite des DNS Flag Day, die dahinterstehende Software ist auf Gitlab verfügbar.

Einige Hosts werden nach der Umstellung überhaupt nicht mehr funktionieren. Es gibt aber auch eine Reihe von Grenzfällen. Die meisten Hosts nutzen mehrere DNS-Server. Wenn die Anfrage bei einem Server fehlschlägt, wird ein anderer versucht. Wer mehrere DNS-Server betreibt, von denen ein Teil korrekt arbeitet, hat weiterhin eine funktionierende Domain, jedoch werden DNS-Antworten schlicht oft länger dauern.

Generell gibt es nach wie vor keinen Zwang, EDNS zu unterstützen. Nur müssen DNS-Server, die EDNS nicht unterstützen, sich bei entsprechenden Anfragen korrekt verhalten und die Erweiterungsfelder ignorieren.

Neben fehlerhaften DNS-Servern können auch Firewalls zu fehlerhaftem Verhalten führen. So verweist die Webseite des DNS Flag Day etwa darauf, dass SRX-Firewalls von Juniper ein Feature haben, das sich DNS-ALG (Application Layer Gateway) nennt und das dazu führt, dass Pakete mit EDNS-Nachricht blockiert werden. Nutzern solcher Firewalls wird empfohlen, das entsprechende Feature abzuschalten. Die Firma F5 hat für zahlreiche Produkte Updates bereitgestellt, um die Kompatibilität mit EDNS zu gewährleisten.

Wir haben einige Seiten mit dem verfügbaren Tool geprüft. Während kleinere Kompatibilitätsprobleme häufiger auftreten, gibt es nur relativ wenige Seiten, die ernsthaftere Probleme haben und die nach dem 1. Februar unter Umständen nicht mehr auflösbar sind. Darunter fanden sich jedoch auch einige prominente Namen, etwa die Webseite von AOL oder des US-Telefonanbieters AT&T. In Deutschland betroffen sind unter den populären Webseiten die AOK, der TÜV Nord und der Mobilfunkanbieter PremiumSIM. Wir haben alle hier erwähnten betroffenen Seitenbetreiber informiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Bitcoin
Bitmain stoppt Verkauf von Krypto-Minern

Aufgrund des chinesischen Vorgehens gegen Kryptomining gibt es viele gebrauchte Bitcoin-Rigs auf dem Markt - deren größter Hersteller zieht Konsequenzen.

Bitcoin: Bitmain stoppt Verkauf von Krypto-Minern
Artikel
  1. Verbraucherzentrale gegen Glasfaser: 100 bis 300 MBit/s sind vollkommen ausreichend
    Verbraucherzentrale gegen Glasfaser
    "100 bis 300 MBit/s sind vollkommen ausreichend"

    Während alle versuchen, den Glasfaser-Ausbau zu beschleunigen, raten Verbraucherschützer, nicht für Tarife mit sehr hoher Bandbreite zu zahlen, die man angeblich gar nicht benötige.

  2. Satelliteninternet: Starlink bietet in Kürze globale Versorgung
    Satelliteninternet
    Starlink bietet in Kürze globale Versorgung

    Viel mehr Nutzer würden Starlink von SpaceX ausprobieren, aber wegen der Chipkrise fehlen die Bauteile.

  3. Lenovo L32p-30 und L27m-30: USB-C-Monitore mit Webcam passen ins Homeoffice
    Lenovo L32p-30 und L27m-30
    USB-C-Monitore mit Webcam passen ins Homeoffice

    Lenovo stellt gleich mehrere neue Monitore vor. Die L32p-30 und L27m-30 lassen sich etwa per USB-C mit 75 Watt Power Delivery anschließen.

jg (Golem.de) 24. Jan 2019

Nö, wir bezahlen nicht für Verlinkungen, freuen uns aber natürlich drüber. :) Gruß, Juliane

wiesi200 24. Jan 2019

Grundsätzlich ist hier die Formulierung absolut falsch. Ein Webserver braucht erst mal...

LordGurke 23. Jan 2019

TL;DR: Hat jemand seine eigenen Nameserver getestet und bekommt Probleme gemeldet, die...

franzbauer 23. Jan 2019

Drillisch hostet nicht die Domains. premiumsim, simplytel (simply), winsim usw. sind...


Folgen Sie uns
       


  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • 6 Blu-rays für 30€ • Landwirtschafts-Simulator 22 jetzt vorbestellbar ab 39,99€ • MSI Optix MAG272CQR Curved WQHD 165Hz 309€ [Werbung]
    •  /