blog@netplanet

Über das Domain Name System zu schreiben, ist schon seit einigen Jahren eine Geschichte, die sich in zwei immer grundsätzlicheren Aspekten auftrennt: Die reine Technik zum Domain Name System, also die Namensauflösung, das Bilden von DNS-Zonen, nslookup, BIND und so weiter. Das ist alles recht ausgefeilte, auf Dezentralität ausgerichtete Technik, inzwischen gemütliche zwei Jahrzehnte alt und nach wie vor einer der intelligentesten Erfindungen, die das Internet erst so nutzbar machen, wie wir es kennen.

Der andere Aspekt ist das, womit die meisten Nichttechniker zu tun haben, den Domain-Namen. Also so Sachen wie netplanet.org, die sich bei Registrierungsstellen bzw. bei Internet Providern für mehr oder weniger viel Geld registrieren lassen und die als Basis für jegliche sinnvolle Technik dient, bei der Menschen möglichst verständlich Namen in ihren Webbrowser eintippen können sollen.

Die letztere Welt ist schon seit langem eine kaputte Welt, bei der es nur um Gewinnmaximierung geht. Alles aufzuzählen, was mit der Neueinrichtung von Top-Level-Domains zusammenhängt, hier aufzuschreiben, wäre ein Werk, das mich locker bis zum Ende des Jahres an Arbeitszeit kosten würde. Ständig prallten zu diesem Thema die Ansichten von Technikern, Politikern, Rechtsanwälten, Geschäftsleuten und auch raffgierigen Geschäftemachern aneinander und zustandegekommen ist hier nicht wirklich viel außer vier Handvoll neuer Top-Level-Domains. Und schon diese wenigen generischen Top-Level-Domains wie .com, .net, .org, .info oder .biz haben vor allem eines gezeigt. Der Namensraum ist nach wie vor unendlich, die Großunternehmen registrieren für jedes Geld dieser Welt ihren Domainnamen, kleinere Unternehmen suchen sich mitunter die Finger wund und der Rest fischt herum.

Der Ausverkauf der Namensräume

Nein, die Domain-Welt ist kaputt. Und mit der heutigen Entscheidung der ICANN, dass die Neuanlage von weiteren Top-Level-Domains letztendlich nur noch eine Frage ist, ob der Registrar, der das möchte, rund 200.000 US-Dollar auf den Tisch legt, ist nicht nur die Domain-Welt vollens auf dem Weg in den Eimer, sondern auch das Domain Name System. Und das nicht nur deshalb, weil der Zaster über die Technik siegt.

Sondern weil der Zaster über die Übersichtlichkeit siegt. Werden Sie zukünftig noch problemlos erkennen können, ob Ihre Bank unter dem Namen “ihrebank.de” zu erreichen ist oder unter “ihre.bank”? Oder “ihrebank.banken”? Oder “ihrebank.de.web”? Technisch sind das alles unterschiedliche Namensräume und mit der völligen Freigabe des Top-Level-Namensraumes auch letztendlich nur noch eine Frage der Zeit. Unternehmen werden sich zukünftig bei immer mehr Domain-Dienstleistern und Registraren um Domain-Registrierungen bemühen müssen. Dass nun vermutlich ein neues Berufsbild eines “Domain-Namen-Kaufmannes” entstehen könnte, der nichts anderes macht, als Domain-Namen zu registrieren, ist ein bizarres Seitenstechen, über das man noch verkrampft lachen könnte.

Das Ergebnis wird jedoch sein, dass niemand mehr wirklich weiß, was er so eintippt, wenn er nicht genau die Adresse abtippt. Suchmaschinenergebnisse werden zwar weiterhin genau sein, die Interpretation bleibt jedem Benutzer allerdings selbst überlassen. Der Mißbrauch mit gefakten Domain-Namen wird anwachsen und die Gegenmaßnahmen werden davon abhängig sein, ob der Verwalter einer bestimmten Top-Level-Domain flott ist oder auch nicht. Auf Namensstreitigkeiten spezialisierte Rechtsanwälte werden heute vermutlich vor Glück stundenlange Freudentänze aufgeführt haben. Ja, sicherlich, man könnte den Worten der ICANN, dass die jetzigen Entwürfe für zukünftige Registrare auch erweiterte Regelungen für den Markenschutz beinhalten, aber Markenverletzungen muss man ahnden. Selten hat die Branche der Juristerei so einen Becken mit ewig nachwachsendem Frischfisch vor die Tür gestellt bekommen, wie nun.

Ob nun nach dieser Einbiegung in die Einbahnstraße alles gut wird, bleibt abzuwarten. Zumindest ist die jetzige Entscheidung der ICANN eine Kapitulation vor den letzten Versuchen, eine noch ansatzweise erkennbare Regulierung in der Domain-Welt beizubehalten. Und wir lernen, dass man die Domain-Welt also durchaus noch kaputter bekommen kann, als es schon heute ist. Das Domain Name System wird sicherlich nicht zusammenbrechen. Es wird jedoch mit ziemlicher Sicherheit die Online-Welt ein Stück unübersichtlicher machen, als sie es in den nächsten Jahren mit der großflächigen Migration auf IPv6 und den damit verbundenen milliardenschweren Investitionen schon wird. We will see.

• 

Dass Technik ausfallen kann, passiert, keine Frage. Computer werden von Menschen programmiert und Computer haben genügend Innereien, die einem Verschleiß oder höheren Gewalten unterliegen, ob das nun die Festplatte, ein defekter Kondensator, die zuzuführende Energie, die Klimatisierung oder die Putzkolonne ist. Alle Störungen sind ärgerlich, aber Störungen sind, wenn man fair sein will, im Grunde genommen unvermeidlich.

Aber: Es ist nun 17:50 Uhr und auf der DENIC-Website findet sich zu den heutigen Problemen mit den autoritativen Nameservern für die “.de”-Zone – nichts. Kein Hinweis auf eine außerordentliche Störung, keine Pressemitteilung, auch nichts im Neuigkeitenbereich. Einfach gar nichts. Der geneigte Nutzer, aber auch der geneigte Systemadministrator, der heute am Vormittag vermutlich stark schwitzend einen Fehler in seiner DNS-Infrastruktur suchen musste, durfte sich – wenn überhaupt – über die einschlägigen Medien im Internet darüber informieren, dass irgendetwas beim DENIC kaputt war.

Das ist leider entsetzlich schlecht, denn das Problem, das heute passierte, ist nicht einfach ein Problem, sondern der Super-GAU im DNS: Nichterreichbarkeit einer kompletten Top-Level-Domain-Zone, weil die dafür zuständigen Nameserver mit fehlerhaften Zoneninformationen bestückt wurden und diese bei Auskünften nach einzelnen .de-Domains mit NXDOMAIN-Auskünfte erteilten. Sprich: Die gesuchte Domain ist vermeintlich nicht vorhanden. Das mag bei der Suche nach einer Website noch verschmerzbar sein, da aber auf für E-Mail das DNS gebraucht wird, ist so ein Ausfall hochfatal und gebietet zumindest eine sehr gut funktionierende Krisenkommunikation.

Die Website des DENIC ist nicht nur über www.nic.de oder www.denic.de, sondern auch über www.denic.net zu erreichen. Man hätte also schon sehr, sehr frühzeitig mit einem dringenden Hinweis auf der Website dafür sorgen können, ein offizielles Statement zu veröffentlichen. Wenn man sich dann noch etwas bemüht, diese alternative Adresse mit anderem Inhalt zu bestücken und getrennt zu propagieren, als die offizielle Website, hätte man auch die Möglichkeit, diese alternative Adresse als eine Art Notfall-Infoboard einzusetzen.

In Sachen Krisenkommunikation, liebes DENIC, liegt Arbeit für euch auf dem Tisch. Und das bitte bald, bevor weitere durchgeknallte Politiker mit Profilneurose auf die Idee kommen, die Vergabe von .de-Domains zu verstaatlichen, weil dann alles besonders sicher sei.

• 

Google startet einen eigenen, öffentlichen DNS-Dienst. Man hat es vielen Medien in ihren Artikeln darüber deutlich angemerkt, dass sie gern mehr aus dieser Story machen würden, aber es eigentlich nicht viel dazu zu sagen gibt, außer der Tatsache, dass Google eben einen eigenen, öffentlichen DNS-Dienst gestartet hat.

Grundsätzlich ist das, was Google hier im Rahmen eines Experiments macht, nichts anderes wie ein weiterer Anbieter eines Telefonbuches. DNS ist normalerweise ein Dienst, den der Zugangsprovider zur Verfügung stellt und der die Adressen seiner DNS-Server automatisch bei der Einwahl übermittelt, damit der Kunde diese nutzen kann. Das passiert alles, genauso wie die DNS-Auflösungsgeschichte, so fern und so automatisch im Hintergrund, dass davon keiner wirklich größere Notiz nimmt, obwohl ohne DNS das Internet nur noch eine Zahlenwüste wäre.

Google hat eine Infrastruktur, die vermutlich alles in den Schatten stellt, was alle anderen Internet-Beteiligte als eigene Infrastruktur im Internet in Betrieb halten. Googles Infrastruktur hat sich im Laufe der Jahre immer weiter weg vom inselartigen Hosting in Richtung einem spinnenartigen Hosting gewandelt: Serverfarmen sind weltweit verteilt und mit Google-eigenen Anbindungen verbunden und die Praxis von Google, relativ günstige Hardware einzusetzen, die dann ihre Inhalte exzessiv redundant halten, führt Google auf globaler Ebene durch. Dazu kommt dann die Politik, möglichst mit vielen Providern direkt zu peeren, also Direktanbindungen zwischen Google und dem jeweiligen Provider zu realisieren, um die Inhalte nicht nur schnell, sondern auch auf kürzestem Wege zum Benutzer zu bringen.

Nur so funktionieren so profan wirkende Dinge wie eine Suchmaschine, Google Mail, YouTube – Dienste, die sehr hohen Datenverkehr erzeugen und alles gleichzeitig passen muss. Es ist daher kaum verwunderlich, dass sich Google mit seiner gewaltigen Infrastruktur auch mal an ganz heiße Dinge wie das DNS wagt, um zu schauen, wie das alles denn unter Last funktioniert. So wie viele Millionen Menschen im Internet die “niederen” Dienst einsetzen, lässt sich nicht simulieren. Und sicherlich auch kein Geld verdienen, denn mit DNS verdient nur der Geld, der Domainnamen verkauft oder das DNS wissentlich manipuliert.

Die andere Seite der Medaille ist eine entlarvende: Online-Sperren auf Basis von DNS zu implementieren, ist Mumpelfurz, weil das Betreiben eines DNS-Servers kaum verboten oder technisch sinnvoll reglementiert werden kann. Machen es die Kleinen nicht mehr, macht es eben der Große. Und das ist dann die andere Seite von Googles DNS-Experimenten, denn es zeigt den vielen Ursulas und Wolfgangs in den Regierungen der Welt, wie schmallippig ihre bisherigen Bemühungen waren und wie schrecklich einfältig ihre bisherigen Lösungsansätze sind.

• 

Fefes Blog ist an sich eine Institution. Hoch verschwörerisch (sagt er selbst), regelmäßig unterhaltsam, allerdings manchmal auch nicht ganz korrekt und einseitig. So auch heute mit folgendem Posting:

“Die ganzen extremistischen Terroristen-Nazi-Bombenleger betreiben ja im Moment aus Protest gegen die Internetzensur öffentliche Nameserver, mit denen man DNS-Zensur umgehen kann. Wisst ihr, wer noch?

$ host -t ns bundestag.de
bundestag.de name server s615.babiel.com
[...]
$ host s615.babiel.com
s615.babiel.com has address 217.79.215.156
$ host blog.fefe.de 217.79.215.156
blog.fefe.de has address 80.244.246.150

Der Bundestag! (Danke, Lutz)“

Was will uns Fefe sagen? Nämlich das, dass der Deutsche Bundestag DNS-Nameserver verwendet und diese offenbar auch für externe Benutzer Adressen auflösen kann. Was er allerdings nicht schreibt, ist der Umstand, dass es sein könnte, aber nicht wirklich getestet werden kann. Fangen wir mal an mit den Tatsachen:

Was hat er da überhaupt oben analysiert? Also, der Befehl “host” ist etwas ähnliches wie “nslookup”, nämlich ein Werkzeug zum Auflösen von DNS-Namen. In der ersten Zeile wird abgefragt, welcher Nameserver für die Domain “bundestag.de” autoritativ zuständig ist. Die zweite Zeile beantwortet dies mit dem Nameserver “s615.babiel.com”. In der vierten Zeile fragt er mit “host s615.babiel.com” die IP-Adresse des Nameservers ab und bekommt dies in der fünften Zeile geliefert (“217.79.215.156″). In der sechsten Zeile fragt er mit “host blog.fefe.de 217.79.215.156″ den so ermittelten Nameserver, ob er blog.fefe.de kennt.

1. Nameserver, die Domains hosten, müssen nicht unbedingt auch die gleichen Nameserver sein, die für die Nutzung von DNS-Auflösungen bei Kundenzugängen genutzt werden. Bei Hosting-Providern ist dies sogar eher unüblich. Spielt aber bei unserer Betrachtung nur eine sekundäre Rolle.
2. Die wenigsten Nameserver sind für bestimmte Adresskreise beschränkt und können aus dem ganzen Internet heraus für DNS-Auflösungen genutzt werden. Das hat weitgehend historische und technische Gründe, denn das Domain Name System ist durch seinen streng hierarchischen Aufbau vergleichsweise starr und wenig reglementierbar, weshalb es auch relativ wenig Mißbrauchspotential für Nameserver gibt – zumal eben letztendlich auch jeder Nutzer einen eigenen DNS-Nameserver einrichten und nutzen könnte, wenn er wollte und der Trend zukünftig auch in diese Richtung gehen dürfte. Dass der obige Nameserver deshalb auch aus dem Internet heraus für andere Domainnamen zur DNS-Auflösung genutzt werden kann, ist eher nichts besonderes, sondern (derzeit) weitgehend Normalität im Internet.
3. Gehört das Blog von Fefe mit ziemlicher Sicherheit zu keiner Website, die derzeit in irgendeiner Datenbank mit zu sperrenden Websites etwas zu suchen hätte. “Derzeit” deshalb, weil man ja inzwischen kaum noch davor gefeit ist, dass man morgen in einem Dorf aufwacht, durch das der nächste Minister auf der Suche nach seinem Profil die nächste Sau treibt.

• 

Ich erspare mir an dieser Stelle den Link auf den Text mit den angeblichen zusätzlichen Details, die die Betreiber der deutschen Wikileaks-Website heute ins Internet gestellt haben. Nicht deshalb, weil ich Angst davor hätte, der zweite Pforzheimer in der Republik zu werden, bei dem die Behörden wegen einem Link auf wikileaks.de einlaufen und sich so günstig gute Hardware besorgen, sondern weil die Geschichte nun langsam alberne Züge annimmt und mir persönlich die Person Theodor Reppe als eine fürwahr recht seltsame Person erscheint – und nein, ich bin sicherlich keiner, der auf der “bösen Seite” stünde.

Ganz ehrlich: Ich bin mir nicht sicher, ob wir den Kampf gegen den Überwachungsstaat unbedingt Leuten überlassen sollten, die in Ernstfällen seltsame Kommunikationsstrategien an den Tag legen und nichts besseres zu tun haben, ihre offenkundig eigene Schlamperwirtschaft mit Frontalangriffen gegen alles, was halbwegs wie eine Behörde oder ein Mitglied der “bösen Gegenseite” aussieht, zu beantworten. Ein bizarres Extrem mit einem anderen bizarren Extrem zu beantworten, scheint mir der Sache nicht wirklich dienlich zu sein. Man kann im Web auch deutlich weniger schrill Aufklärung betreiben.

Sorry, Herr Reppe, aber komme doch bitte bald wieder auf den Boden der Tatsachen. Mist gebaut hat jeder schon mal irgendwo irgendwie. Es wäre jetzt gut, wenn wir dann wieder zum Thema kommen könnten und du deine Domains ohne weitere Pressemitteilungen zu einem anderen Provider umziehen würdest. Aus eigener Erfahrung: Das DENIC ist äußerst kooperativ, wenn es darum geht, Domains schnell wieder aus dem TRANSIT zu bekommen. Ob sich jetzt auf die Schnelle ein neuer Provider findet, der nach diesem Galama als Registrar einspringt, ist eine andere Frage, daran hat aber nun mit Sicherheit nicht das DENIC Schuld.

Aber, lieber Herr Reppe: Halte bitte nicht das halbe Web zum Narren. Das rächt sich durch nachhaltige Mißachtung.

•