Anlässlich der Zensur von .cat-Domains: Kann ich als Domainbetreiber*in etwas gegen DNS-Manipulation tun?

Heute geht es mal wieder um unsere strombetriebenen Freund*innen, um Internetzensur über Manipulation der Namensauflösung und um die Schwierigkeit, so etwas überhaupt mitzubekommen, geschweige denn zu verhindern.

DNS – what?

Kurz zum Kontext – Ihr habt es möglicherweise schon mal gehört: Jeder vernetzte Computer hat eine (oder mehrere) IP-Adresse(n). femgeeks.de liegt z.B. auf einem Server mit den Adressen 217.11.59.156 und 2a00:1828:2000:12::4. Damit Ihr Euch solche Adressen nicht merken müsst, gibt es Nameserver. Sie übersetzen die Webadressen, die Ihr eingebt, in IP-Adressen. Das erinnert an ein Telefonbuch, außer dass man nicht nur in eine Richtung suchen kann. Jede Anfrage geht also zuerst zu Eurem zuständigen Nameserver, der wahrscheinlich bei Eurem Internet Service Provider ist. Der kennt die Antwort entweder schon selbst oder er fragt eben einen anderen Nameserver, bis er eine Antwort hat. Wer das gerne nochmal nachvollziehen möchte, kann das mit dem wunderbaren Web-Comic „How DNS works“ tun. (DNS steht für Domain Name System.)

Vielleicht ahnt Ihr schon, worauf ich hinaus will: Ihr kommt nur dann auf unserem Blog an, wenn Euch der zuständige Nameserver tatsächlich unsere IP-Adressen geschickt hat. Wenn er Euch angelogen hat, dann landet Ihr irgendwo anders und merkt es nicht unbedingt. Das sind tatsächliche IT-Angriffsszenarien, die unterschiedliche Namen haben, etwa DNS-Spoofing. Davon sind selbstverständlich nicht nur Webseite-Aufrufe betroffen, sondern die gesamte Online-Kommunikation: Eine E-Mail kann ja auch nur an das richtige Postfach zugestellt werden, wenn mit der Namensauflösung der E-Mail-Domain (z.B. @blabla.de) nicht herumgetrickst wurde. Wer sich mit dem Ausmaß von DNS-Manipulation beschäftigen möchte, kann z.B. hier zu lesen beginnen.

Internetzensur in Katalonien

In der aktuellen politischen Situation in Katalonien und Spanien passiert seit Wochen genau das: Die spanische Regierung manipuliert Nameserver-Einträge von Domains, die mit dem Referendum über die katalonische Unabhängigkeit und mit der katalonischen Regionalregierung zu tun haben. Auf diese Weise versucht sie, Informationen zu unterdrücken und Kommunikation zu unterbinden. (Ob dabei auch gezielt Inhalte manipuliert werden oder nur Seiten unerreichbar gemacht werden, vermag ich nicht zu sagen.)

Bereits am 20. September hat die spanische Regierung u.a. eine Durchsuchung bei der Fundació puntCAT veranlasst. Das ist die Organisation,  die die Top-Level-Domain .cat verwaltet. Dabei wurde der* IT-Leiter* verhaftet und es wurden diverse Websites gesperrt, die Informationen zum Referendum über die Unabhängigkeit Kataloniens enthielten, die am häufigsten genannte Seite hieß ref1oct.cat. (Es berichteten u.a. heise.de und netzpolitik.org.) Kurz darauf wendete die Fundació puntCAT sich mit einem Bericht über diese Zensurmaßnahme an die ICANN. Auch die Electronic Frontier Foundation (EFF) veröffentlichte einen Beitrag. Nachdem der katalonische Regierungschef Carles Puigdemont angeklagt wurde und ins Ausland ging, berichtete die spanische Tageszeitung El País am 31. Oktober, dass weitere Seiten, etwa govern.cat, president.cat und vicepresident.cat nicht mehr erreichbar sind. Ihre DNS-Einträge wurden entfernt.

DNSSEC und wie sich Lösungen irgendwie nicht durchsetzen

Zufällig habe ich selbst eine .cat-Domain, auf der ich einen öffentlich nutzbaren Chat-Dienst betreibe. Plötzlich hatte das Zensurthema damit eine ganz konkrete Bedeutung für mich: Ich frage ich mich nämlich jetzt selbst täglich, wie lange mein Dienst noch erreichbar sein wird, ob die Zensurmaßnahmen auf die komplette Top-Level-Domain ausgedehnt werden. Was kann ich als Betreiberin tun, damit die Nutzer*innen wenigstens prüfen können, ob sie mit dem richtigen Server verbunden sind?

Es gibt in der Tat eine Möglichkeit. Sie ist jedoch momentan so schlecht verbreitet, dass sie nicht viel bringt: Sie heißt DNSSEC. Die Idee von DNSSEC ist, dass Domain-Inhaber*innen ihre Nameserver-Einträge mit einem digitalen Key signieren und den öffentlichen Schlüssel im Nameserver-Eintrag publizieren. Die Überprüfung erfolgt dann über die Hierarchie, auf der DNS beruht: Ich kann meine Domain (beispiel.de) nämlich nur signieren, wenn die Ebene darüber (.de) das auch für mich tut und wenn die höchste Ebene (die „Root“-Ebene über den Top-Level-Domains) das für .de tut. Eine Validierung läuft dann so, dass die komplette Kette von Signaturen geprüft wird und stimmig sein muss. Es gibt auch Websites, die diese Validierung für konkrete Domains veranschaulichen, z.B. dnsviz.net.

Ihr seht schon: Es ist nicht unkompliziert und viele Beteiligte müssen DNSSEC zusammen umsetzen, damit es etwas bringt. DNSSEC verbreitet sich deshalb nur sehr langsam:

• Als Domaininhaberin kann man nicht mal eben kurz DNSSEC anschalten, es sei denn, der eigene Domainregistrar bietet das an.
• Domainregistrare beziehen bestimmte Domains wiederum über Zwischenhändler, sie können das also auch nicht unbedingt selbst einrichten. So habe ich meine .cat-Domain nicht direkt von der Fundació puntCAT, sondern von einer Berliner Firma.
• Nicht alle Nameserver im Internet beherrschen schon DNSSEC. Resolver geben diese Informationen also unter Umständen gar nicht an uns weiter.
• Und schließlich nützt DNSSEC wenig, wenn die Software, die wir täglich nutzen (Browser, Mailclient, Chatclient etc.), DNSSEC nicht validieren kann. Dann warnt sie nämlich nicht, wenn etwas mit der Kette der Signaturen nicht stimmt. Für Firefox und Chrome/Chromium gibt es eine Erweiterung, die neben der Adresse ein Symbol zeigt. Unter den Chat-Programmen, die für meine Nutzer*innen ja zentral sind, gibt es meines Wissens nach derzeit nur eine App, die „Zusatzeinträge“ im Nameserver validieren kann (DANE-/TLSA-Records). DNSSEC allein hilft hier also noch gar nicht.

(Hier beginnt eigentlich schon das nächste Thema, nämlich weitere Nameserver-Einträge, die DNSSEC zur Vorraussetzung haben. Mit DANE-/TLSA-Einträgen kann man im Nameserver eintragen, welches genaue SSL-Zertifikat auf dem Server ist. Und dann kommt auch gleich das übernächste Thema: Es hat sich gerade erst etabliert, SSL-Zertifikate spätestens alle 90 Tage automatisch auszutauschen. Da ist also Planung gefragt – was möchte man tatsächlich über die Zertifikate im Nameserver aussagen, wenn die sich dauernd ändern?)

Das führt hier jedoch zu weit. Ich denke, es ist trotzdem deutlich geworden, dass es zumindest als Mensch mit gemieteter Einzeldomain ganz schön schwierig ist, für Besucher*innen bzw. Nutzer*innen überprüfbar zu machen, dass sie auf dem richtigen Server landen. Ich frage mich, wieso das ganze Konzept zum Thema „Wie verbinde ich mich in einem offenen Internet auf zuverlässige Weise mit der richtigen Gegenstelle?“ eigentlich nicht nochmal aus einem Guss neu entworfen wird. Und zwar so, dass alle Komponenten stimmig hineinpassen und das Ganze auch umsetzbar ist, anstatt dass sich die verschiedenen Komponenten noch gegenseitig stören…

Was ich in diesem Fall sehr interessant fand, war, dass ich beobachten konnte, wie DNSSEC plötzlich aufgrund von konkreter politischer Zensur so wichtig wurde, dass sich etwas bewegte: Ich hatte am 5. September bei meinem Registrar nach DNSSEC gefragt. Er konnte es zu dem Zeitpunkt nicht anbieten, weil es beim Zwischenhändler kein DNSSEC gab. Am 25. September, also wenige Tage nach der Durchsuchung bei puntCAT, kam die Nachricht, dass es das ab sofort gibt. Das mag eigentlich zu spät gewesen sein, es hat mir aber trotzdem veranschaulicht, wie Dinge gehen könnten, wenn alle Beteiligten sie gleichermaßen hoch priorisieren würden. Bis dahin haben Nerds* leider recht, wenn sie zu ihrem altklugen Spruch anheben: „Das Internet ist kaputt.“