Internet-Spezialdomain .onion offiziell eingetragen

Inhaltsverzeichnis

Am Mittwoch hat die IANA (Internet Assigned Numbers Authority) die Zeichenfolge .onion in die kurze Liste der Domains für spezielle Einsatzbereiche eingetragen. Vorausgegangen war ein langes Ringen zwischen Befürwortern und Gegnern hauptsächlich unter dem Dach der IETF. Der offizielle Segen, den nun auch die IETF gegeben hat, ist ein großer Erfolg für das Tor-Netz im Allgemeinen und Jacob Appelbaum im Speziellen. Er hatte besonders für die Eintragung gekämpft. Der Durchbruch gelang fast in letzter Minute: Ab November können offizielle Certificate Authorities keine gültigen SSL-Zertifikate für lokale Domains mehr ausstellen.

Bisher segelten Zertifikate für .onion-Domains unter der Flagge "lokale Domains". Eben diese Hintertür wird bald geschlossen. Ohne SSL-Zertifikate ist HTTPS aber kaum etwas wert, und ohne HTTPS kann man Tor vergessen. Weil .onion nun aber offiziellen Status erlangt hat, können auch dafür weiterhin offizielle SSL-Zertifikate ausgestellt werden. Nebenbei kann das Tor-Projekt Ticket 6116 nach gut drei Jahren als erledigt markieren.

Kein DNS

.onion-Domains werden beim Onion Routing System im Tor-Netz eingesetzt, um den Zugriff auf Ende-zu-Ende-verschlüsselte Dienste zu anonymisieren (Hidden Services). Während das klassische DNS angefragte Domainnamen zu IP-Adressen auflöst, führt das Tor-Netz weder IP-Adressen noch übliche Domain-Namen und es gibt auch keine zentrale Instanz, die Domainnamen vergibt.

Rein formal entsprechen aber auch .onion-Domains der DNS-Schreibweise. Sie bestehen aber nur aus zwei Labeln, von denen .onion fest steht und das Label für die Subdomain bei der Einrichtung eines verborgenen Webservers aus dem Hashwerten eines öffentlichen kryptographischen Schlüssels gebildet wird. Ein Beispiel ist duskgytldkxiuqc6.onion. Bei der Schlüsselerstellung hat man keinen Einfluss auf die Zeichenfolge des Hashwerts. Folglich sind .onion-Subdomains normalerweise keine Dienstbezeichner, sondern lediglich Zeiger, die zum Dienst führen. Dennoch sind Subdomains mit halbwegs sprechenden Namen möglich, wenn auch sehr selten. Ein Beispiel wäre blockchainbdgpzk.onion.

Die .onion-Domains werden wie übliche Domains zum Beispiel auf Web-Seiten oder Visitenkarten publiziert. Den Zugriff darauf vermitteln jedoch nicht übliche DNS-Server, sondern Tor Directory Server. Sie bringen den Anfragenden und den Dienst zu einem gemeinsamen Meeting-Point im Tor-Netz. So bleiben beide, Anfragender und Dienst anonym und die beiden Kommunikationspartner können einander nicht lokalisieren.

Obacht!

User sollten .onion-Domains nur dann aufrufen, wenn sie ihre Systeme für Tor eingerichtet haben. Andernfalls wird der Aufruf häufig an einen üblichen DNS-Resolver geleitet. Im besten Fall kann dessen Betreiber erkennen, welchen Dienst der Nutzer aufrufen wollte. Genau das soll Onion-Routing aber vermeiden. Im schlimmsten Fall ist der DNS-Resolver jedoch kompromittiert, antwortet mit einer gültig scheinenden Auskunft, und schiebt dem Nutzer so einen ganz anderen Dienst unter.

Spezialdomains

Für die Reservierung "spezieller Namen" gibt es Präzedenzfälle: 1999, also noch bevor die ICANN ihre Arbeit aufgenommen hatte, reservierte die IETF (Internet Engineering Task Force) die Domains .test, .example, .invalid und .localhost unter anderem für Testzwecke. 2013 wurden im RFC 6761 Kriterien für die Reservierung von "Special Names" definiert. Im gleichen Jahr wurde die Liste um .local für lokalen Multicast-DNS-Verkehr erweitert, den OS X und Linux (über seine eigene Avahi-Implementierung) für das Zeroconf-Protokoll Bonjour nutzen.

RFC 6761 stärkt die Rolle der IETF bei der Festlegung von Spezialdomains. In diesem Bereich besteht ein heikles Verhältnis zur ICANN. Denn durch die Vergabe von Spezialdomains kann die IETF Pläne der ICANN durchkreuzen, gleichlautende Top-Level-Domains zu vergeben. Teilweise wünscht sich die ICANN das aber sogar, um sich schwierige Entscheidungen zu ersparen. (ds)