Internationalisierte Domains: Ohrfeige für VeriSign

Unerwartet scharf reagierte das Internet Architecture Board (IAB) auf VeriSigns Versuche, durch Manipulation der .com- und .net-Nameserver das eigene Browser-Plugin für internationalisierte Domains (IDN) unters Netzvolk zu bringen. Die Registries für .com- und .net-Adressen sollen demnach für Anfragen, die offensichtlich auf Nicht-ASCII-Zeichensätzen beruhten, nach entsprechenden IDN-Domains in der Verisign-eigenen Datenbank suchen. Außerdem erhalten Nutzer statt einer Fehlermeldung die Aufforderung, VeriSigns IDN-Plugin i-nav zu installieren. Seit dem dritten Januar bekommen Nutzer dann VeriSign-Werbung, wenn sie etwa die nicht-existente Adresse www.müller.com eingeben.

VeriSign will mit dem Alleingang seine IDN-Lösung und das i-nav-Plugin voranbringen. Das von der Internet Corporation for Assigned Names an Numbers (ICANN) eingeschaltete IAB warnte nun postwendend davor, dass durch die VeriSign-Manipulation der .com- und .net-Nameserver allgemein geltende DNS-Protokolle verletzt würden. ICANN-Direktor Karl Auerbach hatte bei Bekanntwerden vor einem beginnenden Plugin-Krieg gewarnt. Konkurrenten bezichtigten VeriSign einmal mehr einer wettbewerbswidrigen Ausnutzung der Monopolstellung als Registry.

Das IAB kritisiert nun in seiner Stellungnahme verschiedene technische Probleme der Lösung; so würden etwa völlig uneinheitliche Fehlermeldungen versandt. Zum Beispiel würden Adressanfragen beantwortet, während Mail- (MX) und Nameserver-Anfragen (NS) noch klassische Fehlermeldungen ergeben. AXFR-Zonenabfragen seien nicht mehr möglich. Außerdem entstünden Probleme für die Sicherheit, und zwar nicht nur für die Einführung von DNSSEC. Durch das zwischen Anfrage und Server geschaltete "Übersetzung"-System wachse vielmehr auch das Risiko für Denial-of-Service-Attacken. Im Kern sehe man allerdings vor allem das grundsätzliche Architekturprinzip verletzt, "dass das DNS ein Lookup-Service ist, der über alle Ebenen der DNS-Hierarchie interoperabel und vorhersagbar sein muss", heißt es gewichtig in dem vom IAB Geschäftsführer Geoff Huston -- und nicht von der bei VeriSign tätigen Präsidentin des Technikergremiums -- unterzeichneten Schreiben.

Die Lookup-Funktion ist für das IAB von so fundamentaler Bedeutung für die Infrastruktur des Internet, dass man einer Umwandlung in eine Art applikationsbezogenen Suchdienst nicht zustimmen will. Da der begrenzte Gewinn im Übrigen die verschiedenen Nachteile aufwiege, empfiehlt das IAB VeriSign daher, zum alten System zurückzukehren. Diese klare Absage ist eine Ohrfeige für VeriSign.

Ob VeriSign dieser Aufforderung ohne weiteres nachkommt, darf bezweifelt werden. VeriSign Sprecher Brian O'Shaughnessy sagte gegenüber heise online, man sei nicht erstaunt über die die IAB-Stellungnahme, da man bereits in Gesprächen stehe. "Wir sind zu einer Antwort gegenüber ICANN verpflichtet und werden diese in den kommenden Tagen veröffentlichen." Letztlich kann nur ICANN durch die Vertragsbindung mit VeriSign einen Stopp durchsetzen. Ob die Netzverwalter so weit gehen, bleibt abzuwarten. (Monika Ermert) / (jk)