[Internet] Mögliche Probleme am 5. Mai

Laut einem Bericht im Australischen itnews-Blog könnten einige von uns am 5. Mai auf Probleme mit ihrem Internet stoßen. Der Grund dafür ist eine Umstellung in der Namensauflösung (dem DNS), deren erste Phase am 5. Mai von der ICANN, der US-Regierung, Verisign und ein paar weiteren Unternehmen abgeschlossen werden soll.

Bei der Umstellung handelt es sich um die Einführung von DNSSEC, welches jeder DNS-Anfrage eine digitale Signatur hinzufügt um zu verifizieren, dass die Namensauflösung wie gewünscht funktioniert hat und nicht durch dritte Manipuliert wurde.

Mit dieser Umstellung kann allerdings die Größe der DNS-Pakete deutlich ansteigen, so dass sie statt den bisherigen 512 Byte dann bis zu 2 KB groß werden. Das hat den Effekt, dass alle alten Geräte (und Software), die sich in dem Bereich noch im Einsatz befinden, die Antworten nicht mehr verarbeiten können und somit die Namensauflösung fehl schlägt.

Viele der Internetprovider haben dafür gesorgt, dass es keine Probleme geben wird, indem sie ihre Infrastruktur schon entsprechend umgestellt haben. Allerding kann es bei privat betriebenen DNS-Servern / DNS-Caches zu Problemen kommen, wenn sie nur die alte Größe unterstützen.

Um zu testen, ob man betroffen ist, gibt es aus den RIPE Labs ein kleines Java-Programm, mit welchem man seinen DNS-Server testen kann. Nach dem Download der Datei wird diese einfach mit einem Doppelklick gestartet. Im darauf folgenden Dialog kann die Voreinstellung beibehalten werden. Nachdem der Test durchgeführt wurde zeigt das Programm den entsprechenden Status des Servers an.

Aufgrund eines Problems mit der Anwendung hier kann ich nur auf die alternative Testmethode mit dem Tool "dig" zurückgreifen.

So sollte es aussehen:

rst.x3827.rs.dns-oarc.net.
rst.x3837.x3827.rs.dns-oarc.net.
rst.x3843.x3837.x3827.rs.dns-oarc.net.
"212.6.108.157 DNS reply size limit is at least 3843"
"Tested at 2010-04-30 20:58:12 UTC"
"212.6.108.157 sent EDNS buffer size 4096"
Und so sieht es bei mir leider aus (IP rausgenommen, da das kein öffentlicher Server ist):
rst.x476.rs.dns-oarc.net.
rst.x485.x476.rs.dns-oarc.net.
rst.x490.x485.x476.rs.dns-oarc.net.
"xxx.xxx.xxx.xxx DNS reply size limit is at least 490"
"xxx.xxx.xxx.xxx lacks EDNS, defaults to 512"
"Tested at 2010-04-30 20:17:48 UTC"
Wie man daran schon sehen kann, ist der Server definitiv vom Problem betroffen und ich werde mich mal um eine Lösung bemühen müssen. Bei der im zweiten Resultat verwendeten Software handelt es sich um einen pdnsd, der - zumindest nach meiner bisherigen Recherche - keine Einstellmöglichkeiten in diese Richtung besitzt und so wahrscheinlich Probleme verursachen wird...