Denic führt DNSSEC ein: neue Technik mit kleinen Tücken

Wenn immer mehr Domains damit beginnen, DNSSEC einzuführen, kann das durchaus Probleme für Anwender geben, die einen Consumer-NAT-Router wie eine Fritzbox einsetzen. Durch DNSSEC werden die DNS-Antworten länger und überschreiten möglicherweise 512 Byte. Da in diesem Fall DNS über TCP verwendet werden muss, und die NAT-Router das derzeit nicht beherrschen, bekommen Clients keine Antwort mehr.

Um das Problem zu lösen, sind mehrere Beteiligte gefordert: Wer seine Domain mit DNSSEC absichert, sollte darauf achten, dass Antworten auf gezielte Fragen auch signiert in 512 Byte passen. Problematisch sind dabei vor allem lange TXT- und SPF-Records. Damit lässt sich das Problem auf ANY-Abfragen begrenzen, die von Clientsoftware nur äußerst selten verwendet werden.

Die Hersteller sollten ihre NAT-Router um DNS über TCP erweitern. Alternativ könnten NAT-Router auch ganz darauf verzichten, selbst DNS-Forwarder zu spielen. Das ist nämlich gar nicht notwendig. Stattdessen könnten sie die vom Provider vorgegebenen oder vom Benutzer konfigurierten DNS-Server per DHCP an ihre Clients weitergeben. Selbst, wenn sich an einem DSL-Anschluss die IP-Adresse ändert, und die DHCP-Leasezeit noch nicht abgelaufen ist, bleiben die DNS-Server-Adressen konstant.

Als Endanwender lassen sich die Probleme umgehen, die durch die DNSSEC-Einführung entstehen, indem man grundsätzlich den NAT-Router nicht als DNS-Server einsetzt. Als Alternative bieten sich die DNS-Server des Providers, freie DNS-Server oder die DNS-Server von Google an. Einige NAT-Router erlauben das in ihrer Konfiguration. Wenn das nicht der Fall ist, muss man die DNS-Einstellungen am Client ändern.