Das DNS ist in die Jahre gekommen: Braucht das Domain Name System ein Re-Design?

Über 30 Jahre alt ist das DNS und mit diversen Ergänzungen mittlerweile schwer überschaubar. Braucht es ein Re-Design oder sollte man es gleich pensionieren?

In Pocket speichern vorlesen Druckansicht 119 Kommentare lesen
Braucht das Domain Name System ein Re-Design?
Lesezeit: 5 Min.
Von
Inhaltsverzeichnis

Als heillos überfrachtet und teilweise von neueren technischen Entwicklungen überholt beschreibt Internet-Altmeister John Klensin in einem aktuellen Request for Comment (RFC) das Domain Name System. In seinem RFC 8324 stellt er die ketzerische Frage, ob ein Re-Design des DNS überfällig ist, oder ob man das System gleich ganz ersetzen sollte.

Das DNS löste in den frühen 80er Jahren das bis dahin verwendete Host Table System ab, in dem Internet Network Hosts samt ihrer IP-Adressen verzeichnet waren. Das zentral verwaltete Host Table System war den damals sprunghaft gestiegenen Anforderungen nicht mehr gewachsen; der Ansturm auf Netzadressen und Namen war zu groß geworden.

Mit dem Domain Name System ersetzte es eine hierarchische, dezentral organisierte Struktur mit dynamischer Namenszuteilung. FĂĽr viele Nutzer bleibt die DNS-Funktion jedoch unsichtbar. Die meisten kennen den Unterschied zwischen Domains und Suchbegriffen nicht, konstatiert Klensin. Dazu haben erheblich Browser beigetragen, indem sie im selben Eingabefeld sowohl Domains als auch Suchworte entgegennehmen.

Doch das ist für Klensin natürlich nicht der Anlass, das DNS in Frage zu stellen – es sei vielmehr die "wachsende Zahl von Pflästerchen, mit denen Problemzonen des DNS zugeklebt" worden seien. Mit separaten Protokollen wurde dem DNS mehr oder weniger erfolgreich Vielsprachigkeit beigebracht. Dazu musste teils das Prinzip aufgegeben werden, dass im DNS große und kleine Buchstaben austauschbar sind.

Die Obergrenze von DNS-Paketen (512 Byte) wurde durch Extended DNS umgangen, was zusätzliche Flags und Funktionen ermöglichte. Aber nicht alle Internet-Elemente eignen sich für große DNS-Pakete, sodass diese fragmentiert müssen. Das wiederum sei eine stetig sprudelnde Fehlerquelle. Für die 128 Bit großen IPv6-Adressen musste ein eigener Resource Record eingeführt werden (AAAA). Gleichzeitig nach IPv4- und IPv6-Adressen einer Domain zu fragen – man kann ja nie wissen – funktioniert aber nicht: das alte DNS eignet sich nicht für Multi-Type-Anfragen.

Ein Problem, für das aktuell viel „Tape“ verbraucht werde, seien die riesigen Datenschutzlöcher. Nach der Standardisierung des Protokolls DNS over TLS auf der Strecke zwischen dem Stub-Resolver beim Nutzer und dem rekursiven Resolver beim Provider, widmen sich DNS-Experten gerade der Absicherung der Strecke zu den autoritativen Resolvern. Damit sind dann zwar alle wichtigen Strecken abgesichert, aber es wird erfahrungsgemäß eine ganze Weile dauern, bis die neuen Protokolle die alten ablösen.

Schließlich sind da noch die politischen Ärgernisse, angefangen bei der unausgewogenen Verteilung der zentralen Rootserver bis hin zur US-Lastigkeit der privaten Aufsichtsbehörde. Neben der Verbreitung von Anycast schlagen DNS-Entwickler inklusive Googles Internet-Evangelist Vint Cerf mittlerweile vor, einfach Kopien der Rootzone in jedem rekursiven Resolver vorzuhalten. Dabei denken sie daran, Zugriffszeiten zu verringern und die Last zum Schutz gegen DDoS besser zu verteilen. Auch mit Blick auf das Datenschutzproblem des DNS könnte sich ein kleines Plus ergeben. Aber der einst simple DNS-Betrieb wird so letztlich wieder komplexer und dadurch weniger überschaubar.

Sollte man angesichts solcher Entwicklungen nicht doch besser ein neues System entwickeln, das aktuellen Anforderungen eher entspricht? Klensin bringt dafür die Blockchain als Alternative ins Spiel. Ein darauf gründendes Nachfolgesystem käme nicht nur ohne eine zentrale Rootaufsicht aus, sondern würde sie sogar technisch von vornerhein ausschließen. Die ICANN untersucht die Blockchain-Technik bereits. Unter anderem im Gespräch mit einem Vertreter der Ethereum Name Services (ENS). ENS hat schon mal 160.000 .eth-Namen in einer Auktion angeboten und denkt gerade über Lösungen für Namensstreitigkeiten und die Absicherung von Subdomains nach. Und die GNU-Entwicklergemeinde schlägt eine ganz auf Datenschutz und Anonymität hin optimierte Technik vor, das GNU Name System (GNS).

Autor Klensin betrachtet die Konkurrenz trotz seiner Kritik am DNS mit Skepsis. Die Blockchain würde einige der "symbolischen Probleme mit der ICANN lösen", schreibt er auf Anfrage von heise online. Die Sicherheits- und Datenschutzprobleme bleiben jedoch und das Skalierungsproblem könnte sogar zunehmen. Außerdem sieht er erhebliche Hürden für die Implementierung gleich welcher neuen Lösung.

Vielleicht reiche auch, so schreibt Klensin abschlieĂźend, das DNS wieder auf seine Rolle als System zum nĂĽchternen Adressieren von Netzressourcen zurĂĽckzufĂĽhren, die nichts mit Inhalten zu tun haben. Vor ĂĽber zehn Jahren leitete Klensin eine Arbeitsgruppe in der IETF, die sich ĂĽber einen Zwischen-Layer, sogenannte Internet Key Words, Gedanken machte. Vielleicht, so Klensins Idee, bleiben dem DNS so noch ein paar gute Jahre als Infrastruktur im Hintergrund? (dz)