• IT-Karriere:
  • Services:

DNS Flag Day: Keine Rücksicht mehr auf fehlerhafte DNS-Server

Ab 1. Februar wollen Anbieter von DNS-Software und Betreiber von Internetinfrastruktur aufhören, auf fehlerhafte DNS-Server Rücksicht zu nehmen. Wer die DNS-Erweiterung EDNS nicht unterstützt, soll zumindest mit einer korrekten Antwort reagieren.

Artikel veröffentlicht am , Hanno Böck
Der 1. Februar ist "DNS Flag Day" - in einer konzentrierten Aktion sollen fehlerhafte DNS-Server gezwungen werden, ihre Probleme in den Griff zu kriegen.
Der 1. Februar ist "DNS Flag Day" - in einer konzentrierten Aktion sollen fehlerhafte DNS-Server gezwungen werden, ihre Probleme in den Griff zu kriegen. (Bild: Public Domain / Montage: Golem.de)

Manche Webseiten, deren DNS-Server fehlerhaft arbeitet, haben bald ein Problem. Eine Reihe von DNS-Softwareprojekten und Internetdiensten will am 1. Februar Workarounds abschalten, die dafür sorgen, dass die Kommunikation mit fehlerhaften Servern funktioniert. Die Aktion nennt sich DNS Flag Day. Dabei geht es in erster Linie um das DNS-Erweiterungssystem EDNS.

Stellenmarkt
  1. HiScout GmbH, Berlin
  2. Deloitte, verschiedene Standorte

Das originale DNS-Protokoll sah kein Hinzufügen von neuen Features vor. Mit EDNS (Extension Mechanism for DNS) wurde diese Möglichkeit 1999 eingeführt. Um dies zu ermöglichen, schickt eine DNS-Software, die EDNS unterstützt, eine Nachricht mit, die von alten DNS-Servern schlicht ignoriert werden soll. Somit ist - theoretisch - Abwärtskompatibilität gewährleistet.

Viele fehlerhafte DNS-Server

In der Praxis gibt es jedoch viele DNS-Server, die auf entsprechende Nachrichten nicht korrekt reagieren. Sie antworten auf eine DNS-Anfrage mit EDNS-Erweiterung entweder überhaupt nicht oder fehlerhaft.

DNS-Server haben daher diverse Workarounds eingebaut, um mit solch fehlerhaften Servern weiter kommunizieren zu können. So wird etwa bei einem Timeout mit EDNS oft schlicht noch einmal versucht, ob eine Anfrage ohne EDNS erfolgreich ist.

Was auf der einen Seite dazu führt, dass Kompatibilität selbst mit alter, fehlerhafter Software gewährleistet bleibt, führt andererseits dazu, dass DNS-Software unnötig komplex ist und manche Operationen länger dauern als nötig. Daher sollen diese Workarounds jetzt in einer konzentrierten Aktion abgeschaltet werden. Die nächsten Versionen der Programme Bind, PowerDNS und Unbound werden dies umsetzen. Die Software Knot enthält bereits jetzt keine entsprechenden Workarounds.

Neben diesen Softwareprojekten unterstützen auch Firmen wie Google, Facebook und Cloudflare den DNS Flag Day und haben angekündigt, ihre eigene Infrastruktur entsprechend umzustellen.

Webseitenbetreiber sollten ihre Hosts testen

Für Webseitenbetreiber bedeutet das, dass sie jetzt prüfen sollten, ob ihre DNS-Server korrekt arbeiten. Einen entsprechenden Check gibt es auf der Webseite des DNS Flag Day, die dahinterstehende Software ist auf Gitlab verfügbar.

Einige Hosts werden nach der Umstellung überhaupt nicht mehr funktionieren. Es gibt aber auch eine Reihe von Grenzfällen. Die meisten Hosts nutzen mehrere DNS-Server. Wenn die Anfrage bei einem Server fehlschlägt, wird ein anderer versucht. Wer mehrere DNS-Server betreibt, von denen ein Teil korrekt arbeitet, hat weiterhin eine funktionierende Domain, jedoch werden DNS-Antworten schlicht oft länger dauern.

Generell gibt es nach wie vor keinen Zwang, EDNS zu unterstützen. Nur müssen DNS-Server, die EDNS nicht unterstützen, sich bei entsprechenden Anfragen korrekt verhalten und die Erweiterungsfelder ignorieren.

Neben fehlerhaften DNS-Servern können auch Firewalls zu fehlerhaftem Verhalten führen. So verweist die Webseite des DNS Flag Day etwa darauf, dass SRX-Firewalls von Juniper ein Feature haben, das sich DNS-ALG (Application Layer Gateway) nennt und das dazu führt, dass Pakete mit EDNS-Nachricht blockiert werden. Nutzern solcher Firewalls wird empfohlen, das entsprechende Feature abzuschalten. Die Firma F5 hat für zahlreiche Produkte Updates bereitgestellt, um die Kompatibilität mit EDNS zu gewährleisten.

Wir haben einige Seiten mit dem verfügbaren Tool geprüft. Während kleinere Kompatibilitätsprobleme häufiger auftreten, gibt es nur relativ wenige Seiten, die ernsthaftere Probleme haben und die nach dem 1. Februar unter Umständen nicht mehr auflösbar sind. Darunter fanden sich jedoch auch einige prominente Namen, etwa die Webseite von AOL oder des US-Telefonanbieters AT&T. In Deutschland betroffen sind unter den populären Webseiten die AOK, der TÜV Nord und der Mobilfunkanbieter PremiumSIM. Wir haben alle hier erwähnten betroffenen Seitenbetreiber informiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 19,95€
  2. (u. a. F1 2019 Anniversary Edition für 26,99€, Jurassic World Evolution Deluxe Edition für 15...
  3. (-77%) 13,99€
  4. (-72%) 8,50€

jg (Golem.de) 24. Jan 2019

Nö, wir bezahlen nicht für Verlinkungen, freuen uns aber natürlich drüber. :) Gruß, Juliane

wiesi200 24. Jan 2019

Grundsätzlich ist hier die Formulierung absolut falsch. Ein Webserver braucht erst mal...

LordGurke 23. Jan 2019

TL;DR: Hat jemand seine eigenen Nameserver getestet und bekommt Probleme gemeldet, die...

franzbauer 23. Jan 2019

Drillisch hostet nicht die Domains. premiumsim, simplytel (simply), winsim usw. sind...


Folgen Sie uns
       


The Outer Worlds - Fazit

Das Rollenspiel The Outer Worlds schickt Spieler an den Rand der Galaxie. Es erscheint am 25. Oktober 2019 und bietet spannende Missionen und Action.

The Outer Worlds - Fazit Video aufrufen
Threadripper 3970X/3960X im Test: AMD wird uneinholbar
Threadripper 3970X/3960X im Test
AMD wird uneinholbar

7-nm-Fertigung, Zen-2-Architektur und dank Chiplet-Design keine Scheduler-Probleme unter Windows 10: AMDs Threadripper v3 überzeugen auf voller Linie, die CPUs wie die Plattform. Intel hat im HEDT-Segment dem schlicht nichts entgegenzusetzen. Einzig Aufrüster dürften sich ärgern.
Ein Test von Marc Sauter

  1. Via Technologies Centaur zeigt x86-Chip mit AI-Block
  2. Nuvia Apples Chip-Chefarchitekt gründet CPU-Startup
  3. Tiger Lake Intel bestätigt 10-nm-Desktop-CPUs

Macbook Pro 16 Zoll im Test: Ein Schritt zurück sind zwei Schritte nach vorn
Macbook Pro 16 Zoll im Test
Ein Schritt zurück sind zwei Schritte nach vorn

Keine Butterfly-Tastatur mehr, eine physische Escape-Taste, dünnere Displayränder: Es scheint, als habe Apple beim Macbook Pro 16 doch auf das Feedback der Nutzer gehört und ist einen Schritt zurückgegangen. Golem.de hat sich angeschaut, ob sich die Änderungen auch lohnen.
Ein Test von Oliver Nickel

  1. Audioprobleme Knackgeräusche beim neuen Macbook Pro 16 Zoll
  2. iFixit Kleber und Nieten im neuen Macbook Pro 16 Zoll
  3. Macbook Pro Apple gibt fehlerhafte Butterfly-Tastatur auf

Cloud Gaming im Test: Leise ruckelt der Stream
Cloud Gaming im Test
Leise ruckelt der Stream

Kurz vor Weihnachten werben Dienste wie Google Stadia und Playstation Now um Kunden - mit noch nicht ganz perfekter Technik. Golem.de hat Cloud Gaming bei mehreren Anbietern ausprobiert und stellt Geschäftsmodelle und Besonderheiten vor.
Von Peter Steinlechner

  1. Apple und Google Die wollen nicht nur spielen
  2. Medienbericht Twitch plant Spielestreaming ab 2020
  3. Spielestreaming Wie archiviert man Games ohne Datenträger?

    •  /