Europäische Registries bauen BIND-Alternativen
Zu BIND und NSD gesellen sich Knot DNS und Yadifa. Die Alternativen sollen bei großen DNS-Betreibern wie nationalen Registries etwa höhere Ausfallsicherheit schaffen und flinkere Antworten garantieren.
Lange Jahre war BIND die einzige Open-Source-Lösung für autoritative Name Server für das Domain Name System (DNS). 2003 kam mit NSD die erste europäische Alternative auf den Markt. Beim 36. Treffen der IP-Adressverwaltung RIPE in Wien stellten sich am Donnerstag gleich zwei weitere Konkurrenten vor: Knot DNS aus der Entwicklungsabteilung der tschechischen Registry CZ.nic und eine Neuentwicklung der europäischen Registry Eurid namens Yadifa.
Beide Entwicklungen versprechen zügigere dynamische Updates im laufenden Betrieb. Das ist beispielsweise für die verteilt aufgestellten Secondary Server von Interesse. Außerdem versprachen CZ.nic-Entwickler Luboš Slovák und Eurid-Manager Peter Janssen auch flottere Antworten der Server im Vergleich zu BIND – unter Linux rund 30 Prozent flinker, unter FreeBSD gar doppelt so schnell. Janssen stellte auch eine Windows-Portierung von Yadifa in Aussicht; Unterstützung für Mac OS X wurde ebenfalls von beiden angekündigt. Beide Entwicklergruppen, die jeweils nur drei oder vier Leute umfassten, kündigten weitere Verbesserungen an: Knot DNS etwa wird sich dynamischen Updates, der Integration von Transaction Signatures (TSIG) und der Verringerung des Memory Footprints widmen, sagte Slovák.
Die Nase vorne hat Knot DNS, das schon jetzt als Open Source zum Download bereitsteht. Bereits Ende des Jahres soll ein Teil der .cz-Name-Server das eigene Protokoll nutzen. Vorerst läuft es auf kleineren Domains, etwa der Projektdomain. Der Release für Yadifa ("yet another DNS implemention for all") ist für Februar 2012 angekündigt, genutzt wird es im Moment nur auf yadifa.eu.
Vertreter der Nachbarregistries in Europa begrüßten die Arbeit der Kollegen, erklärten aber auch, dass sie mit den existierenden Alternativen nicht schlecht bedient seien. Die deutsche DeNIC eG und die französische AFNIC setzen beide BIND und NSD ein. Ein größerer Gen-Pool, so die Expertenmeinung, sei gleichwohl gut fürs Internet. Mehr Vielfalt war auch das Ziel von Eurid und CZ.nic. Bei Problemen mit einer Nameserver-Version kann dann auf auf die andere Variante zurückgegriffen werden. "Unser Ziel ist, BIND, NSD und Yadifa einzusetzen. Wir finden, drei Alternativen sind notwendig", sagte Janssen. Auch CZ.nic setzt künftig auf drei Varianten. Ondřej Surý, CTO von CZ.nic begründet das so: "Wenn man zwei Nameserver-Alternativen hat und eine fällt aus, dann sind das 50 Prozent." Bei CZ.nic will man sich im nächsten Jahr auch an die Entwicklung eines neuen rekursiven DNS-Servers machen.
Bei Nlnet Labs arbeitet man derweil an einem anderen Stück sicherer DNS-Infrastruktur, dem DNSSEC Trigger. Die Software soll DNSSEC-Checks für Nutzer vom Laptop oder Desktop aus ermöglichen und damit Angriffe gegen DNSSEC auf der letzten Meile erschweren. (ea)
