Domainnamen ohne ICANN: DNS über HTTPS begünstigt alternative Namensvergabe

Inhaltsverzeichnis

Bekommt die Internet Corporation for Assigned Names and Numbers (ICANN) Konkurrenz bei der Vergabe neuer Namensbereiche? Seit Monaten sorgt eine Verschiebung bei der Auflösung von Domainnamen für harte Diskussionen unter Fachleuten. Eine Expertenrunde hatte bei einem ICANN-Treffen in Marrakesh über Risiken von DNS über HTTPS (DoH) aus der Sicht der privaten Netzverwalter und ihrer Nutzer diskutiert; auch die DNS-Branche und sowie einzelne Gesetzgeber beschäftigt das Thema.

DoH kapselt DNS-Anfragen mit dem verschlüsselnden Webprotokoll HTTPS und verschickt sie direkt zu DNS-Anbietern – also beispielsweise zu Google oder Cloudflare. So ist der DNS-Verkehr weder für Provider noch für Dritte lesbar, also auch nicht etwa für Strafverfolger. Das bringe Sicherheitsprobleme mit sich, klagen Provider. Der Browser-Anbieter Mozilla, Vorreiter der DoH-Anwendung, verteidigt DoH mit dem Argument, dass es ein starkes Mittel gegen Zensur sei.

Verwirrung

Kritiker warnten beim Treffen der ICANN jedoch davor, dass unterschiedliche DNS-Quellen auf einem Gerät eben auch unterschiedliche DNS-Antworten liefern. Das dürfte die meisten Nutzer verwirren. Zugleich werde die Fehlersuche erschwert. Auch sorgen sich Beobachter um die Konzentration des DNS-Verkehrs auf den DNS-Servern einiger weniger Anbieter.

Beispielsweise liefert Mozillas Firefox seine DoH-Anfragen in der Testphase ausschließlich an den kooperierenden Anbieter Cloudflare. Und Googles Chrome ist eng an Googles hauseigene DNS-Server gebunden. Immerhin arbeitet inzwischen unter anderem die IETF an Methoden für eine DoH-Server-Auswahl. Auch lokale DoH-Server könnte man dann in der Browser-Konfiguration eintragen. Das dürften Firmen-Admins gern hören, die erwägen, eigene DoH-Server zu betreiben.

Mit dem Einzug der DoH-Technik in Browser deutet sich aber auch an, dass der ICANN die Kontrolle über den DNS-Namensraum entgleiten könnte. Denn wer als großer Anbieter Domainnamen auflöst, könnte prinzipiell auch bestimmen, welche Domains er überhaupt in seiner DNS-Datenbank führt und zu einer Art Namenszulassungsstelle neben der ICANN aufsteigen.

Parallele Namensräume

Solange Überschneidungen verhindert werden, könnten alternative Namensbereiche durchaus reibungslos nebeneinander existieren. Solche Szenarien hat sich das Internet Architecture Board in der Gründungszeit der ICANN schon einmal angesehen. "Das Problem alternativer Namensräume ist im Prinzip ein altes", schreibt die ICANN in ihrer Stellungnahme an heise online. "DoH hat darauf keinen unmittelbaren Einfluss, außer dass es ein solches Szenario vielleicht ein bisschen wahrscheinlicher macht."

Es sei nicht auszuschließen, dass es künftig auch konkurrierende Namensräume gibt. "Allerdings müssten dafür marktbeherrschende DNS-Betreiber entstehen. Diese könnten dann untereinander aushandeln, welche Namen sie einführen wollen", schreibt die ICANN. Prinzipiell könnte das auch ein einzelner ausreichend großer Anbieter im Alleingang tun.

DNS-Konkurrenz

Zu einer Bedrohung des von der ICANN koordinierten Domain Name Systems würden alternative Namensräume allerdings erst dann, wenn eine Konkurrenz keine Rücksicht auf die schon in der Rootzone eingetragenen Top-Level-Domains nehmen würde. DNSSEC-validierende Resolver würden zwar noch zum Stolperstein für die konkurrierenden alternativen Namen. Ein einheitlicher Namensraum wäre dann aber am Ende. "Dass all diese Bedingungen erfüllt werden, erscheint uns unwahrscheinlich. Völlig ausschließen können wir das aber nicht."

Auch wenn man auf Art und Umsetzung der DoH-Technik keinen Einfluss habe, sieht sich die private Netzverwaltung in der Pflicht, die Interessen der Internet-Teilnehmer zu vertreten. In ihrem Statement hält die ICANN daher fest: "Nutzer sollten letzten Endes genug Information und die Möglichkeit haben, damit sie selbst eine informierte Entscheidung treffen können, über welchen Dienst sie ihre DNS-Anfragen aufgelöst bekommen wollen."

[Update]: 02.07.19, 19:00 Uhr: Grafik hinzugefügt. (dz)