BIND-Entwickler macht sich mit DNS-Filtern unbeliebt
Domain-Betreiber debattieren derzeit über die Entscheidung des Internet Software Consortium (ISC), den DNS-Server BIND mit DNS-Umleitungen und Filter-Optionen auszurüsten. Einige nennen ISC bereits "einen Waffenhändler für das Netz".
Domain-Betreiber debattieren derzeit erbittert über die Entscheidung des Internet Software Consortium (ISC), den DNS-Server BIND mit DNS-Umleitungen und Filter-Optionen auszurüsten. Der bis vor kurzem für den Betrieb des B-Rootservers verantwortliche Bill Manning wurde am Rande eines Treffens der Internet Engineering Task Force (IETF) in Taipei sehr deutlich: Einige Unternehmen diskutieren derzeit eine Empfehlung, die sich gegen den weiteren Einsatz des DNS-Servers BIND ausspricht. Manning nahm angesichts des neuen Kurses von ISC kein Blatt vor den Mund. "ISC hat sich in einen Waffenhändler für das Netz verwandelt," sagte er.
Manning zielt damit auf zwei neue BIND-Funktionen. Zum einen erlaubt der DNS-Server nun DNS-Umleitungen im Stil von Sitefinder oder der Navigationshilfe der Telekom. Statt einer Mitteilung, dass eine angefragte Domain nicht existiert, wird kurzerhand auf eine eigene Suchseite umgeleitet. Die zweite, von Experten offen kritisierte Funktion ist der Einbau einer beliebigen Filterpolitik durch den Kunden. BIND hat dafür sogenannte Response Policy Zones nachgerüstet, mit der Betreiber rekursiver Server Adressen blockieren können.
Zwar beschworen ISC-Vertreter in den vergangenen Wochen immer wieder mit Engelszungen, dass die Kunden selbst entscheiden würden, welche Filterpolitik sie betrieben. In erster Linie ginge es dem ISC um die Bekämpfung von Malware. Trotzdem musste sich Paul Vixie (ISC) anhören, dass er gegen genau die Prinzipien verstoße, die er selbst in einem Brief an die US-Regierung kürzlich hoch gehalten habe. Nicht zuletzt seien damit negative Konsequenzen für die Absicherung des DNS mittels DNSSEC verbunden. Dass ISC sich künftig zusätzlich zum neuen "Security"-Schwerpunkt - und der erklärten Partnerschaft mit dem FBI bei der Übernahme der Ghost Click Server - auch noch als Backend-Registries für neue TLDs betätigen will, hat die Zahl der Kritiker wohl noch vergrößert.
Der deutschen Domain-Verwalter und BIND-Anwender DENIC hält sich mit Kritik vorerst noch zurück. DENIC-Geschäftsführerin Sabine Dolderer teilte auf Anfrage von heise online mit, man suche sich die DNS-Software ausschließlich nach technischen Kriterien wie Zuverlässigkeit, Performance, Wartbarkeit und Robustheit aus. "Ideologische Fragen" spielten keine Rolle und die umstrittenen Funktionen müssten ja eingeschaltet werden. Verwendung für die neuen BIND-Filter gebe es bei der DENIC nicht, versicherte DENICs DNS-Experte Peter Koch. (rek)