Namensauflösung im #Internet: Fragmentierung schlimmer als Konzentration
▻https://www.heise.de/news/Namensaufloesung-im-Internet-Fragmentierung-schlimmer-als-Konzentration-607000
25.06.2021 von Monika Ermert - Mit #IPv6 und I#Pv4 hat das Internet schon keine einheitlichen Adressen. Jetzt steht auch die Einheitlichkeit der DNS-Auflösung auf dem Spiel, fürchten Experten.
Dem Internet droht sein Charakter als universelle Kommunikationsplattform abhanden zu kommen. Die größte Gefahr sei laut Fachleuten wie Geoff Huston von der asiatisch-pazifischen Internet Registry #APNIC nicht etwa die Konzentration der DNS-Auflösung auf wenige Konzerne, sondern die Fragmentierung auf verschiedene Protokolle und Client-Anwendungen. Eine solche Zersplitterung entsteht durch das Verschieben der #DNS #Namensauflösung zu den Applikationen, warnte Huston kürzlich beim Treffen der IP-Adressverwalter.
Die Konzentration von vielen DNS-Anfragen bei nur wenigen Resolveranbietern sei nach seiner Auffassung kein großer Risikofaktor, erklärte Huston gegenüber heise online. Der Australier misst seit vielen Jahren die Verbreitung einzelner Protokolle und die Marktmacht der großen Plattformen. Im überschaubaren Feld der offenen #DNS-Resolver thront laut Hustons jüngsten Messungen einer über allem: Google.
DNS von #Google
Rund 15 Prozent der erfassten Erstanfragen nach einer Domain lassen die Surfer bewusst oder unbewusst von Googles Resolverfarmen beantworten. Diese sind weltweit unter den IPv4-Adressen 8.8.8.8 und 8.8.4.4 sowie unter den IPv6-Adressen 2001:4860:4860::8888, 2001:4860:4860::8844 zu erreichen. Und wenn der erste Zugriffsversuch auf eine Domain scheitert, verlässt sich zusammengenommen sogar fast ein Drittel der beobachteten Clients auf Googles Dienst.
Es gibt freilich große kontinentale und länderspezifische Unterschiede. Surfer in vielen asiatischen und afrikanischen Ländern stützen sich fast ausschließlich auf Googles DNS-Service. Seine größte Nutzergruppe verzeichnet der Konzern ausgerechnet im souveränitätsbesessenen Indien. Inderinnen und Inder machen allein ein Fünftel der gesamten DNS-Nutzerschaft von Google aus.
Besonders beim mobilen Internet greifen Nutzer häufig auf die kostenlosen offenen Resolver zurück. Das Betriebssystem Android schaufelt Googles Resolvern massiv Verkehr zu, bilanziert Huston. Die zunehmende Zentralisierung bei der Beantwortung von DNS-Anfragen spiegelt aus seiner Sicht letztlich nur die Konzentration der darunter liegenden Internetinfrastruktur.
Dass viele Leute direkt oder indirekt Google nutzen, dürfe man schon für problematisch halten, antwortet Huston auf Anfrage. „Google sieht eine Menge Geheimnisse von Nutzern. Wenn wir aber Gmail, Google Docs und die allgegenwärtige Suche mitbetrachten, ist DNS fast schon ein Randproblem“, notiert Huston.
Namensauflösung wandert in die Apps
Der viel größere Risikofaktor ist aus seiner Sicht der Umstieg auf #DNS-over-HTTPS (#DoH). Mit der DNS-Verschlüsselung erhalten die App-Entwickler die Wahl darüber, wem sie die DNS-Anfragen schicken. Ein Beispiel dafür ist Mozillas Firefox-Browser, der auf Installationen in den USA grundsätzlich DoH verwendet und die DNS-Anfragen von US-Amerikanern an Cloudflare sendet. Das ergibt sich teils aus der Entstehungsgeschichte des Protokolls, denn Mozilla und Cloudflare haben von Anfang an dabei zusammengearbeitet. Aber die Konzentration der Firefox-generierten DNS-Anfragen bei Cloudflare liegt auch daran, dass viele Provider, die bisher unverschlüsselte DNS-Anfragen im Rahmen ihrer Internet-Angebote für Kunden aufgelöst haben, noch gar keine verschlüsselnden Resolver betreiben.
„Das ist ein grundsätzlicher Wandel des DNS“, urteilt Huston. „Künftig wird die DNS-Anfrage kein Bestandteil der allgemeinen Infrastruktur mehr sein, sondern zu einem Applikations-spezifischen Dienst“. Dabei ist nicht vorhersehbar, welche App welches Anfrageprotokoll verwendet (#DNS-over-HTTPS, #Oblivious DNS-over-HTTPS, ...) und man kann nicht mehr erwarten, dass die DNS-Antworten über verschiedene Applikationen hinweg konsistent sind. Deshalb könne man mit Fug und Recht von einem fragmentierten Namensraum sprechen.
Diese Ansicht und Sorge teilt auch Lars Liman vom Rootbetreiber Netnod. Wenn der Webbrowser am Laptop einen bestimmten Resolver benutzt, das Mobiltelefon und die Kalender-App aber jeweils andere, dann leidet die Konsistenz, erklärte Liman gegenüber heise online.
„Das könnte verschiedenen Organisationen ein Werkzeug an die Hand geben, Nutzer im Internet in die eine oder andere Richtung zu bugsieren“, so Liman, und nicht alles müsse in guter Absicht geschehen. „Ich glaube, wir sind auf dem Weg zu einem neuen Internet, bei dem das Ergebnis einer Domainabfrage davon abhängig sein wird, wo man sitzt im Internet.“
Neugierige Augen
Die gute Absicht, DNS-Anfragen vor neugierigen Augen zu verbergen, sei so nachvollziehbar wie die Ungeduld der App-Industrie, auf die Nachrüstung von DNS-Resolvern bei Providern zu warten, bewertet Huston.
Auf die Frage warum das Vorpreschen der App-Betreiber mit der Aufgabe des einheitlichen Namensraums einhergehen muss, antwortet Huston mit der Gegenfrage: Warum sollten diejenigen, die eine App-basierte Namensinfrastruktur unterstützen, den alten DNS-Namensraum noch in die neue Welt hinüberretten? Lokale, nicht-DNS bezogene Namen, könnten eine natürliche Weiterentwicklung sein. Solche innerhalb der App vergebene Namen könnten schnell, sicher und für alle anderen unsichtbar sein, sagt Huston, nur universell wären sie nicht mehr.
Doch wenn eine App eine Zieldomain nicht erreichen kann, wird die Fehlersuche zum Detektivspiel. Gute Fehlermeldungen oder ausreichend Intuition vorausgesetzt, kann der Nutzer das DNS-Problem an den App-Hersteller richten. Nutzer, die den DNS-Dienst in der Zuständigkeit des Providers sehen, können sich zwar auch an dessen Hotline wenden. Diese kann das Problem aber womöglich gar nicht reproduzieren, weil ihr die App gar nicht zur Verfügung steht. Oder sie kann versuchen nachzuvollziehen, welche App DNS-Probleme macht und welchen Resolver der App-Entwickler gewählt hat. Untersteht der befragte Resolver einer bestimmten Jurisdiktion, die bestimmte Domains sperrt? Oder ist der Resolver einfach nur mit einem Defekt ausgefallen? Die Suche nach der Ursache kann jedenfalls vertrackt sein und es ist fraglich, ob Provider den Aufwand überhaupt auf sich nehmen wollen.