ICANN sucht Wege zu punktlosen Domainnamen

Die für die Vergabe und Verwaltung des Domain Name System zuständige Internet Corporation for Assigned Names and Numbers (ICANN) hat eine weitere Studie zur Sicherheit und Stabilität punktloser Domainnamen (dotless domains) im Domain Name System vorgelegt. Das 41-seitige Papier (PDF-Datei) wurde von der Sicherheitsfirma Carve Systems erstellt. Es klopft Internetdienste und Client-Anwendungen anhand ihrer Position in der Netzwerk-Infrastruktur auf ihr Verhalten mit punktlosen Domainnamen ab.

Bei der Infrastruktur sehen die Autoren die zwei Hauptfelder Routing und Vertrauen, auf denen diese Domainnamen Probleme verursachen können. Beim Routing könnten Daten etwa nicht wie in den spezifizierten Protokollen an ihr Ziel gelangen. Der Punkt Vertrauen spiele immer dann eine Rolle, wenn Nutzer Zertifikate oder Dienstadressen einordnen müssten. Zu den untersuchten Anwendungen zählen bekannte Webserver, Browser, E-Mail-Clients, Proxys, Heim-Router, Betriebssysteme, SSL-Implementierungen, DNS-Server und Web-Frameworks wie Ruby on Rails oder ASP.NET. So diagnostizieren die Autoren Sicherheitsprobleme bei Browsern und E-Mail-Clients, die durch die Verwendung von punktlosen Domains nutzerbezogene Daten ins Internet übertragen. Ähnliches gelte auch für Cookies-Daten. Probleme tauchen danach auch bei bestehenden SSL-Zertifikaten und in lokalen Windows-Netzen auf.

Daraus leitet Carve allerdings nur wenige konkrete Vorschläge ab: Einer davon lautet, "potenziell gefährliche Buchstabenfolgen" in punktlosen Domainnamen zu verbieten. Mit "gefährlich" meinen die Autoren Namen oder Wörter, die bislang in lokalen Netzen gebräuchlich sind (mail, www, ...). Als punktlose Domain eingesetzt, verursachen sie zwangsläufig Probleme. So könnten etwa nur für das lokale Netz bestimmte Daten ins Internet durchsickern. Des Weiteren empfehlen die Autoren zusätzliche Studien, die Erarbeitung von Richtlinien und Übereinkünften: So soll die ICANN unter Software-Herstellern dafür werben, dass Anwendungen das durch die punktlosen Domains geänderte Schema von Namen und URLs berücksichtigen.

Punktlose Domainnamen bestehen aus nur einem Label wie in der URL http://example oder der Mail-Adresse root@example. Viele Bewerber für die neuen generischen Top-Level-Domains (gTLDs) hatten offenbar danach gefragt, ob sie neue gTLD wie .music auch ohne den Punkt in URLs oder Adressen einsetzbar können und wie sich diese Art der Nutzung auf die Internet-Infrastruktur auswirke. Dazu gehört laut Techcrunch auch Google, die gerne die punktlose Domain http://search als universelle Suchschnittstelle einsetzen wollen.

Im September 2012 hatte das Security and Stability Advisory Committee (SSAC) des ICANN erklärt, dass punktlose Domains im aktuellen Domain Name System sowie in Netzwerkanwendungen nicht immer wie erwartet funktionieren werden. Im Detail führe ihr Einsatz sogar zu einem unerwarteten und unvorhersehbaren Verhalten, wenn man die unterschiedliche Kontexte wie Webbrowser, Anwendungen, Resolver und die Sicherheit betrachtet. Im November veröffentlichte die ICANN die zum SSAC-Report eingegangenen Kommentare, die sich ebenfalls mehrheitlich gegen punktlose Domainnamen aussprachen: So unterstützt etwa Microsoft die Bedenken der SSAC und lehnt punktlose Domain ab. Der IT-Sicherheitsexperte Dan Kaminsky erläutert zudem, das punktlose Domain niemals funktionieren werden, da der dafür nötige Namenraums längst belegt sei: Er erkenne zwar den Marketing-Wert solcher Domainnamen an, doch müssten Dinge wie das DNS einfach funktionieren. Anfang Juli 2013 sprach sich zudem das beim IETF angesiedelte Internet Architecture Board (IAB) deutlich gegen punktlose Domainnamen aus, denn diese gefährdeten massiv die Sicherheit im Internet und widersprächen allen vorhandenen Internet-Spezifikationen. (rek)