Experten warnen vor unbegrenzter Zulassung von Top Level Domains
Während einer Debatte über Effekte der Einführung von DNSSEC-Signaturen, IPv6 Glue Records und TLDs in lateinischen und nicht-lateinischen Zeichen herrschte auf dem 59. RIPE-Treffen weitgehend Einigkeit darüber, dass eine gleichzeitige Einführung auf jeden Fall vermieden werden müsse.
Als "unnötig" und sogar "gefährlich" haben mehrere Experten während des Treffens der IP-Adressverwalter bei der 59. Konferenz der regionalen Internet-Registry (RIR) Réseaux IP Européens (RIPE) die geplante unbegrenzte Zulassung neuer Top Level Domains (TLDs) bezeichnet. In einer Debatte über einen von OSI-Architekt und Interisle-Consultant Lyman Chapin vorgestellten Bericht zu den Effekten der Einführung von DNSSEC-Signaturen, IPv6 Glue Records und TLDs in lateinischen (ASCII) und nicht-lateinischen (IDN) Zeichen herrschte weitgehend Einigkeit darüber, dass eine gleichzeitige Einführung auf jeden Fall vermieden werden müsse.
Zwei oder mehr Variablen in einem System auf einmal zu verändern, widerspreche guter Praxis, warnte Jim Reid, einer der Vorsitzenden der RIPE-Arbeitsgruppe zu DNS-Fragen. Die Einführung einer mit DNSSEC-signierten Root, durch die Attacken auf das DNS verhindert werden sollen, hat die Internetverwaltung ICANN gerade selbst angekündigt. Die DNS-Arbeitsgruppe des RIPE begrüßte diesen Schritt ausdrücklich in einem Schreiben. Ab dem 1. Dezember soll signiert werden. Ab Anfang Januar soll zunächst ICANNs L-Root-Server und kurz darauf VeriSigns J-Root-Server signierte Antworten liefern. Die anderen 11 Root Server könnten bis Juli folgen, wenn alles glattgeht.
Zwar rechnen die ICANN und VeriSign nicht mit Problemen für die Rootzone. Aber bei der Signierung einzelner Zonen wie .org registrierten die Betreiber eine sprunghaft angestiegene Zahl von TCP-Anfragen von Servern, ein Fall-Back-Effekt, der durch Probleme mit den plötzlich längeren, weil mit Signaturen versehenen Antworten rührt, die auf die ursprünglichen UDP-Anfragen geliefert wurde. Die gleichzeitige Einführung neuer Top Level Domains, seien es lateinische und nicht-lateinische zur gleichen Zeit, verbiete sich angesichts solcher offener Fragen.
"Die ICANN steht vor einer sehr schwierigen Entscheidung, denn sie hat sich beim Zeitplan für die Einführung neuer TLDs sehr festgelegt", so Lyman Chapin, der früher selbst Mitglied des ICANN-Vorstandes war, gegenüber heise online. Mehrfach habe der Vorstand nach möglichen technischen Problemen durch die Einführung einer großen Zahl neuer TLDs gefragt, räumt er ein. "Es wurde allerdings immer die falsche Frage gestellt", ergänzt Chapin. Immer sei es nur darum gegangen, wie viele neue TLDs die Rootzone verkraften könne. Die Antwort darauf lautete jeweils, tausend oder sogar zehntausend seien kein Problem. Nicht einkalkuliert hat ICANN dagegen, dass auf der Zielgeraden zur Öffnung der Root der Druck zur Einführung von DNSSEC derart wächst.
Möglicherweise kommt der ICANN bei den aktuellen Planspielen für den weiteren Zeitplan am Ende entgegen, dass die Vertragsverhandlungen mit neuen TLD-Betreibern in der Regel mindestens sechs Monate dauern, meistens sogar länger. Diese administrative "Bremse" ist in der Root-Studie nicht berücksichtigt, allerdings könnte sie den effektiven Start der ersten neuen TLD mehr oder weniger weit ins Jahr 2011 verlegen. (anw)
