/ flag-day-im-dns-wird-aufgeraumt-at-ist-gewappnet

Jan 25

/ nic.at News - 25.01.2019 09:30
Flag Day: Im DNS wird aufgeräumt - .at ist gewappnet

Am 1. Februar 2019 ist DNS Flag Day. Was wie ein Feiertag klingt, könnte für manche Domainbetreiber zum Problem werden: Denn an diesem Tag beenden die wichtigsten DNS-Anbieter ihre Workarounds, mit denen man bisher Domains mit nicht standardkonformer DNS-Software erreichen konnte. nic.at unterstützt die betroffenen Hoster von .at-Domains, damit am Flag Day wirklich alle Grund zum Feiern haben.

Zuerst die Entwarnung: All jene, die ihre DNS-Server aktuell halten, werden den DNS Flag Day problemlos überstehen. Und das trifft auf immerhin 99,96 Prozent der .at-Domains zu. Um die verbleibenden knapp 5000 .at-Domains vor der Unerreichbarkeit zu schützen, hat nic.at in den vergangenen Tagen gemeinsam mit CERT.at und den DNS-Experten der Universität Wien eine „Hilfsaktion“ gestartet – als Serviceleistung der Registry für die heimische Community.

Arsen Stasic vom Zentralen Informatikdienst der Universität Wien erklärt: „Mitte Jänner haben wir analysiert, wie viele .at-Domains und welche ISP’s es überhaupt betrifft. Die Kollegen der tschechischen Registry NIC.CZ haben dazu Open Source Test-Software mit neun verschiedenen Tests zur Verfügung gestellt. Diese überprüft zum Beispiel, ob der EDNS0 Standard eingehalten wird und ob die Firewall fälschlicherweise das Protokoll TCP blockiert.“ Betroffen waren rund 700 Nameserver mit insgesamt 5126 .at-Domains.

Diese Information ging dann an CERT.at, das ebenso bei nic.at angesiedelt ist und in einem Blogbeitrag die technischen Hintergründe und Hilfestellungen für den DNS Flag Day aufbereitet hat. Über die ISP’s hat Robert Waldner von CERT.at die Nameserver-Betreiber kontaktiert und sie auf die kommende Umstellung aufmerksam gemacht. Mit der schellen Reaktion ist er durchaus zufrieden: „Ein paar Tage nach unseren Aussendungen waren schon ein paar hundert Domains repariert und die Tendenz ist weiterhin steigend. Kurz vor der Umstellung werden wir noch einen Reminder versenden – und dann sind wir gespannt auf die endgültigen Zahlen Anfang Februar.“

Website für den Selbsttest
Wer sich trotzdem selbst überzeugen will: Auf der Website des DNS Flag Day kann man die eigene Domain testen. Für DNS Anbieter und Software Developer stehen Ressourcen und Tools bereit und es ist detailliert aufgelistet, welche öffentlichen DNS Provider die Workarounds einstellen und welche Software-Anbieter neue Versionen zur Verfügung stellen werden. Alles in allem ist der DNS Flag Day also gut vobereitet – sowohl seitens der Software-Hersteller und Service-Anbieter als auch seitens der Registry.

Auch die nic.at Geschäftsleitung ist zufrieden mit der Aktion: „Hier zeigt sich der Vorteil, wenn alle Experten von Universität bis hin zu CERT.at unter dem Dach der Registry vereint sind. Kurze Wege ermöglichen eine rasche, effiziente Kooperation zum Wohle unserer Kunden“, betont technischer Geschäftsführer Robert Schischka. Dass auch die eigenen nic.at Nameserver für die .at-Zone stets am neuesten Stand sind, versteht sich von selbst: „Wir investieren viel Zeit und Geld in unsere Infrastruktur, um technisch up-to-date zu sein“, so Schischka, der „DNS-Muffeln“ das RcodeZero Anycast DNS Netzwerk aus dem Hause nic.at empfiehlt: „Damit ist man automatisch immer auf der aktuellsten Software-Version und muss Umstellungen wie den Flag Day nicht fürchten.“

Hintergründe zum DNS Flag Day
Salopp gesagt könnte man den DNS Flag Day als „Entrümpelungsaktion“ in der DNS Software bezeichnen. Schon seit 1999 gibt es den sogenannten „EDNS0“ Standard, der aber bis heute nicht lückenlos umgesetzt ist. Daher hatten die großen DNS-Betreiber jahrzehntelang zahlreiche Workarounds und Zusatzabfragen implementiert, um beim Abfragen einer Domain nichts unversucht zu lassen. Das Problem dabei: Der Sourcecode dieser Workarounds ist komplex, immer aufwändiger zu warten und man schleppt jahrzehntelang Altlasten mit. Damit ist jetzt Schluss. Zu Recht, wie Waldner betont: „Solche Workarounds bremsen langfristig die Weiterentwicklung des DNS an sich. Ich befürworte daher diese Aktion. Wer immer seine Hausaufgaben macht, hat nichts zu befürchten.“

Dass die nicht-standardkonformen Domains automatisch am 1. Februar für niemanden mehr erreichbar sind, ist nicht unbedingt gesagt. „An diesem Tag wird der neue Sourcecode released, und dann dauert es eine Zeitlang, bis er sich verbreitet. Da aber große Anbieter wie Google und Cloudfare mit an Bord sind, ist der Impact viel größer und Fehler werden viel schneller bemerkt,“ erwartet Stasic.

Warum Flag Day?
Wer Flag Day mit dem amerikanischen Gedenktag am 14. Juni assoziiert, liegt richtig. Und doch hat sich in der IT diese Bezeichnung auch für jenen Tag durchgesetzt, an dem große Software-Umstellungen oder komplette Neustarts gemacht werden, wie Wikipedia weiß. Das geht auf eine große Umstellung im ASCII Code am Flag Day Feiertag des 14. Juni 1966 zurück.