Der DNS-Schlüsselwechsel: Wie erkennt man DNS-Ausfälle und was dagegen hilft
- "Geschrieben von Matthias Pufke"
Heute, am 11.10. wechselt die ICANN den DNS-Vertrauensanker - dabei kann es zu Ausfällen von Internet-Diensten kommen ... wenn der Partner nicht vorbereitet ist!
Am 11.10.2018 läuft die Gültigkeit des aktuellen "Vertrauensankers" aus und ab dann gilt nur noch der neue, der bereits längst im Umlauf ist. Die Umstellung wurde von der ICANN sorgfältig vorbereitet, sodass eigentlich nichts schief gehen sollte ...
Eine mögliche Konsequenz ist ein Ausfall des Domain Name System kommen (DNS):
Dann funktionieren die allermeisten Internet-Dienste nicht mehr.
Beispielsweise brauchen E-Mail-Clients, Messenger, Web-Browser und viele andere Programme das DNS um eine Verbindung zu bekommen. Beim Schlüsselwechsel ist der DNS-Resolver die Achillessehne des DNS – fehlt einem Resolver der neue Vertrauensanker, kann er DNS-Anfragen von Internet-Geräten nicht zu IP-Adressen auflösen. Und ohne die IP-Adressen können die Geräte keine Ziele im Internet ansteuern, bzw. kann ganz einfach keine Kommunikation stattfinden.
Der alte Schlüssel wird um 11.10.2018,16:00 Uhr UTC aus dem Domain Name System entfernt (Coordinated Universal Time). In Europa entspricht das 18:00 Uhr CEST (Central European Summer Time). Resolver, die den Anker noch im Cache haben, dürfen ihn entsprechend seinem TTL-Eintrag dann noch 48 Stunden lang nutzen, bevor sie ihn tilgen. Erst wenn diese allerletzte Frist abgelaufen ist, dürften sich also lauernde Probleme manifestieren. Das betrifft den Zeitraum vom 11.10.2018, 18:00 Uhr bis zum 13.10.2018, 17:59.
Für VPN-Nutzer gilt: Aktualisieren Sie die Software möglichst noch vor dem Stichtag - Telemetriedaten zufolge gibt es mindestens einen VPN-Anbieter, der in seinen iOS- und Android-Clients einen validierenden Resolver mit veraltetem Vertrauensanker verwendet hat. Dafür gibt es seit einigen Wochen jede Menge Updates. Die ICANN konnte bisher nicht angeben, um welchen VPN-Anbieter es sich handelt, sodass sicherheitshalber jeder VPN-Client aktualisiert werden sollte.
Die meisten Telefonanschlüsse basieren inzwischen auf der VoIP-Technik. Ein VoIP-Telefon oder Client benötigt für die Registrierung bei seinem SIP-Server ebenfalls einen DNS-Dienst. Sollte das scheitern, funktioniert die Telefonie von diesem Client aus nicht. Ersatzweise kann man dann auf ein Mobilfunkgerät ausweichen.
Falls es auf dem Smartphones ebenfalls tot ist und keine Telefonate zustande kommen: Möglicherweise versucht das Smartphone VoLTE für die Telefonie zu nutzen. Auch dieser hängt am DNS - dann sollte es helfen, LTE abzuschalten um die Telefonie auf UMTS oder GSM zu erzwingen.