Noch 90 Tage Quarantäne für blockierte Domains: "Ihr DNS bedarf dringender Wartung"

Rund 10 Millionen Domains in den brandneuen Top Level Domains hatte die Internet Corporation for Assigned Names and Numbers (ICANN) bislang blockiert, da sie möglicherweise mit Domain-ähnlichen Varianten dieser Namen innerhalb privater, nicht öffentlich gerouteter Netze kollidieren. Große Registries und kleine neue Betreiber ächzten unter den Einschränkungen. Jetzt sollen Registries für die derart blockierten Domains noch 90 Tage lang Spezialantworten liefern: "Ihr DNS bedarf dringender Wartung" oder schlicht die Ipv4-Adresse 127.0.53.53 als Sackgassen-Adresse auszugeben. Danach dürfen die Namen genutzt werden.

Die Verwendung kurzer und manchmal prägnanter Begriffe zum internen Routing innerhalb von Netzen hatte mit für das Problem gesorgt. Es bedeutet jetzt das komplette Aus für die Bewerbungen um .corp, .home und auch .mail. Ob deren Bewerber etwas von den bei ICANN gezahlten Gebühren zurückerhalten, ist derzeit offen.

Aber auch bei Second Level Domains ließ sich die ICANN im vergangenen Jahr vom Beratungsunternehmen JAS Global Partners erhebliche Kollissionsgefahr bescheinigen und verpasste damit den neu antretenden TLDs ihre jeweils für sie festgelegte Blockliste.

17.500 .berlin-Namen in Quarantäne

Auf den Blocklisten landete teils Erstaunliches. Für die neue .bayern-TLD etwa reichen die zunächst nicht verfügbaren Namen von "Adelsschlag" über "Justiz" (alternativ auch "Justitz") bis zu "jva-mue" oder "Zugspitzregion", rund 2500 Namen insgesamt. 5100 sind für .hamburg blockiert, und die schon gestartete .berlin musste zunächst einmal 17.500 aus ihrem Angebot nehmen. Die Berliner wollen nun voraussichtlich am 18. August ihre 90-tägige Schonzeit starten. Der Vorteil der Vorgehensweise sei, dass mit der nicht gerouteten 127.0.53.53 den fehlgeleiteten Servern aus internen Netzen keine Daten entlockt werden.

Für erst jetzt delegierten TLDs, die noch keine Namen in ihrer Zone haben, gilt dabei ein etwas anderes Regime. Sie sollen in den vorgesehenen 90 Tagen ab Delegation neben den "Gefährder-Domains" lediglich .nic aktivieren. Weil die Zone damit leer ist, dürfen sie ausnahmsweise Wildcards einsetzen, heißt es im ICANN-Regelwerk.

Einige Registry-Betreiber kritisieren den enormen Aufwand. Sie weisen darauf hin, bislang noch wenig von Kollisionen gehört zu haben. Dennoch behält sich die ICANN auch eine dauerhafte "Notfall-Politik" für künftige Zusammenstöße vor. Über ein Formular auf der ICANN-Webseite können Betroffene sich mit Warnungen an die ICANN wenden, die, sofern sie ein Problem erkennt, einer Registry auferlegt, innerhalb von zwei Stunden die jeweilige Domain erst einmal aus der Zone zu nehmen in ihrer Zone zu blockieren.

ICANN kann auch selbst den Registry-Betrieb übernehmen

In "Notfällen" würde die ICANN dabei sogar den Betrieb der Registry kurzfristig selbst übernehmen, wenn die Registry nicht reagiert. Das ist, wie die zuständigen ICANN-Experten jüngst in Londen versicherten, nur für echte Notfälle vorgesehen. In der jetzt schriftlich niedergelegten Rahmenregelung wird von "Gefahr für Leib und Leben" gesprochen. Szenarien wie die von intern im Krankenhausnetz verwendeten Strings, die dann plötzlich als Domain verfügbar sind und damit Anfragen fehlleiten, erfordern doch einige Fantasie.

Dem Vorschlag des Security and Stability Advisory Committee (SSAC) der ICANN, auch andere Kriterien als Auslöser für Notfallmaßnahmen in Betracht zu ziehen, etwa "nationale Sicherheit", "Recht und Ordnung" oder "wirtschaftliche Prozesse von erheblicher Bedeutung" lehnte die ICANN eher ab. Diese seien auf globaler Ebene schwer verhandelbar. Auf mögliche Versuche, Kollisionen wirtschaftlich auszuschlachten, will sie andererseits ein Auge haben. (anw)