Eine erste Ausschreibung der EU für DNS Resolver
Vor einiger Zeit berichteten wir über die Vorteile lokaler DNS-Resolver. Wir hatten da eher an einen Einsatz in kleinerem Rahmen gedacht. Doch anscheinend sind wir in bester Gesellschaft. Denn jetzt hat die Europäische Kommission am 12. Januar 2022 eine Ausschreibung veröffentlicht, die sich mit dem Thema DNS-Auflösung befasst. Sie schreibt in der Einleitung:
„Wie in der Cybersicherheitsstrategie der EU dargelegt, verlassen sich Bürger und Organisationen in der EU zunehmend auf einige wenige öffentliche DNS-Auflöser, die von Nicht-EU-Einrichtungen betrieben werden.“
Das ist inhaltlich richtig erkannt. Und tatsächlich gibt es hier ein ernstes Problem im Kontext von Datenschutz, Datensicherheit und von digitaler Souveränität.
Die Europäische Kommission sucht nun eine Organisation, die einen Europäischen Resolver (Auflöser) plant und betreibt. Hierfür soll es eine Anschubfinanzierung geben. Wie man dieses eigentlich sehr lobenswerte Unterfangen langfristig finanzieren möchte, bleibt bis dato noch offen. Immerhin wird an mehreren Stellen von verschiedenen Kundengruppen gesprochen. Man denkt also über eine Refinanzierung nach.
Ein genereller Lösungsansatz für jeden
Das Thema Resolver an sich ist ziemlich spannend, sowohl im allgemeinen für jeden Internet-Nutzer, als auch im speziellen für jedes datenschutz und -sicherheitsbewusste Unternehmen. Und zwar aller Grössenordnungen und besonders im Kontext der digitalen Souveränität.
Im folgenden sprechen wir zum besseren Verständnis die technischen Grundlagen der verschiedenen Arten von Nameservern (denn um diese geht es hierbei) an, um dann etwas genauer auf die Funktionen von Resolvern einzugehen. Das setzen wir dann in Beziehung zur Ausschreibung der EU. Zusätzlich werden wir die Möglichkeiten und Bedeutungen des eigenen lokalen Resolvers aufzeigen. Ein solcher löst nicht nur alle relevanten Probleme, sondern ermöglicht auch Filtermöglichkeiten, die weit über die hinausgehen, die von öffentlichen Resolvern angeboten werden.
Ein paar Begriffserklärungen rund um Nameserver
Um insbesondere die technische Bedeutung eines Resolvers zu verdeutlichen, empfehlen wir Ihnen den Webcast der eBusiness Lotsen Berlin zum Thema:„Best Practice: Der eigene lokale DNS-Resolver“. Doch zunächst erklären wir noch einmal kurz die wesentlichen Fachbegriffe.
Resolver gehören in die Kategorie der Nameserver. Nameserver heißen alle Verwaltungssysteme, die Internetadressen auffindbar machen. Aber ihre Aufgaben sind jedoch ziemlich verschieden:
Root-Nameserver
Root-Nameserver (kurz: Root-Server) sind Server zur Namensauflösung an der Wurzel (Root) des Domain Name Systems im Internet. Die Root-Zone umfasst Namen und IP-Adressen der Nameserver aller Top-Level-Domains (TLD). (https://de.wikipedia.org/wiki/Root-Nameserver).
Jeder Root-Name-Server führt sämtliche Domains sämtlicher Top-Level-Domains.
Authoritative Nameserver
Sie führen ausschließlich Informationen über bestimmte Domains. Für diese stellen sie die höchste Instanz dar, alle anderen Nameserver richten sich nach ihnen. Die BB-ONE.net betreibt ein eigenes hochverfügbares und vierfach redundantes Netz aus Nameservern für die Domains, die sie im Auftrag ihrer Kunden verwaltet.
Resolver
Resolver lassen sich von Endgeräten wie PCs nach Informationen zu einzelnen Domains befragen. Was sie nicht selbst wissen (z.B. aus dem Cache), erfragen sie zunächst bei den Root-Name-Servern. Wenn deren Antwort ein bestimmtes Alter überschreitet, die sogenannte TTL=“Time To Live“, also eventuell nicht mehr aktuell sein könnte, wird der für die jeweilige Domain zuständige Authoritative Nameserver befragt. Dieser übergibt seine Antwort dann an den Fragesteller.
Zusätzlich wird diese Antwort in einen lokalen Cache geschrieben. Wenn dieselbe Information wieder abgefragt wird, prüft dieser Resolver zunächst, ob er die Antwort bereits kennt und gibt diesen Stand dann als Antwort an den Fragesteller weiter. Dies dient eigentlich der schnelleren Antwortgeschwindigkeit, stellt allerdings wenigstens auch eine Fehlerquelle dar.
Da war doch noch einer?
