RackBlogger

Den Titel dieses Blog-Beitrags wusste ich schon seit Monaten, nur der genaue Zeitpunkt war unklar.

Ich bin nun ein vor Glück und Freude platzender Papa, und für einige Tage/Wochen erstmal nur sehr eingeschränkt erreichbar.

Auf die an dieser Stelle üblichen Nerd-Gags mit fork(), sleep(), usw. verzichte ich.

Der Sommer ist gerade auf dem Höhepunkt, aber der Herbst verspricht auch schon heiß zu werden: zum einen freue ich mich, dass zum 01.08. ein weiterer Mitarbeiter bei uns beginnt. Zum anderen werden wir zum 01.09. größere Büroräume beziehen (zum Glück innerhalb des selben Gebäudes). Und von zwei weiteren großen Projekten werde ich zu gegebener Zeit berichten.

Wir beobachten derzeit, dass die Aussteller von SSL-Zertifikaten derzeit stark die Extended Validation SSL-Zertifikate “pushen”. Wir Reseller werden mit massiven Prämien geködert, und die Endkunden werden mit (im ersten Jahr kostenlosen) EV-SSL-Upgrades angelockt. Der Grund liegt auf der Hand: nicht damit die SSL-Anbieter die Welt ein wenig sicherer machen, sondern weil sich diese an EV-SSL quasi dumm und dämlich verdienen.

Um das nochmal kurz zu wiederholen: EV-SSL (200-900 EUR/Jahr) bietet technisch exakt die selbe Sicherheit wie ein “günstiges” SSL-Zertifikat (15-120 EUR/Jahr - je nach Anbieter). Allerdings wird der Antragsteller für das Zertifikat “besonders” überprüft (was an sich auch nichts Neues ist), und gleichzeitig im Browser die Vertrauenswürdigkeit besonders hervorgehoben.

So, und für wie vertrauenswürdig soll man nun so ein EV-SSL-Zertifikat halten?

Dass ausgerechnet das für Phisher hochbegehrte PayPal solche dubiosen Firmierungen nutzt ist schon merkwürdig. Egal ob PayPal, eBay oder Online-Banking: der Kunde wird immer verpflichtet, zu prüfen dass er sich auf der “richtigen” Website befindet. Soll ich nun tatsächlich meine Benutzerdaten auf der Website einer singapurischen Limited eingeben?

Unser Impressum wurde um eine weitere Pflichtangabe nach §2 Abs. 1 Satz 11 der neuen Dienstleistungs-Informationspflichten-Verordnung (DL-InfoV) erweitert - und zwar um den Hinweis auf die bestehende Betriebshaftpflichtversicherung.

Interessant ist in diesem Zusammenhang die einzige Anmerkung der Plenardiskussion zu dieser Verordnung - von der bayerischen Wirtschaftsministerin Emilia Müller:

Bayern stimmt der Verordnung unter größten Bedenken zu, weil es sich um eine zwingend erforderliche Umsetzung von EU-Recht im Verhältnis 1:1 handelt. Der Freistaat Bayern hält es jedoch für dringend geboten, das Ziel des Bürokratieabbaus und der Deregulierung zukünftig auf nationaler und auf EU-Ebene verstärkt zu beachten und auf solche zusätzlichen Belastungen unbedingt zu verzichten. (Quelle)

Taten statt Worte wären mir lieber. Auch eine Zustimmung unter Protest ist noch immer eine Zustimmung.
A propos… was treibt Herr Stoiber eigentlich derzeit so?

[UPDATE] Kaum drin, wieder raus: der Hinweis wurde wieder entfernt - eine kurze Rücksprache mit dem Anwalt hat ergeben, dass ich der beliebten Verwechslung von Betriebs- und Berufs-Haftpflicht erlegen bin. Also keine Pflichtangabe bei uns. Trotzdem Bürokratie.

So - die .de-Zone ist scheinbar wieder da. Hierzu nun folgende Feststellungen:

• die erste Beschwerde eines Kunden ist hier um 13:36 eingetroffen (eine Domain, die aus bestimmten Gründen eine TTL von nur 5 Minuten hat)
• um 15:19 haben hier bei einem Test alle .de-Rootnameserver wieder korrekt geantwortet
• laut einer Mail von Michael Holzt in “DENIC public-l” waren keine Domains betroffen, die mit 0-9 oder a-e beginnen. Das würde auch erklären, warum meine Tests mit “denic.de” immer korrekt aufgelöst wurden.
• auch laut tagesschau.de waren “nur” Domains von e-o betroffen…

Unsere Kunden haben die Sache mit Verständnis und zum Teil mit Humor aufgenommen. Das spiegelt sich auch in vielen Twitter-Meldungen wieder. Hier eine kleine Auswahl:

• panatlantica: Es hat sich ja inzwischen auch herausgestellt, dass aufgrund von Cloud-Computing Vulkanasche in die DNS-Tabellen gelangt ist!
• schiedi: Muss nachher noch meinen Sohn anrufen, wie ihm denn sein Praktikum bei #denic gefällt.
• Wawerko_de: Chuck Norris braucht keine Nameserver! Er kennt alle IP-Adressen auswendig! #denic
• JonasLike: Merkel schaltet Internet ab. Genial! Mit der gewonnenen Produktivität haben wir die 750 Mrd. Griechenland-Euro bis heute abend wieder drin.

Und natürlich das Highlight: http://www.denic.de/typo3temp/pics/i_64bbbffdb3.jpg

Nun geht’s aber wieder zurück ans Tagesgeschäft. Betreiber von größeren DNS-Servern können gerne mal ein “rndc flush” ausführen, um die Wartezeit etwas zu verkürzen.

Hoppla - bei der DENIC ist irgendwas ziemlich, ziemlich, ziemlich Übles passiert. Nur noch zwei der insgesamt sechs .de-Rootserver antworten korrekt. Viel schlimmer als keine Antwort ist aber, dass drei Nameserver falsch antworten - sinngemäß mit “Domain nicht vorhanden”.

dig @s.de.net keppler-it.de ANY => OK
dig @a.nic.de keppler-it.de ANY => TIMEOUT
dig @z.nic.de keppler-it.de ANY => NXDOMAIN !!!!
dig @c.de.net keppler-it.de ANY => OK
dig @f.nic.de keppler-it.de ANY => NXDOMAIN !!!!
dig @l.de.net keppler-it.de ANY => NXDOMAIN !!!!

Das dürfte man dann wohl als DEN Super-GAU der .de-Zone bezeichnen. Die Falsch-Antwort wird zudem noch für zwei Stunden vom jeweiligen DNS-Client gecached. Dürfte also eine Weile dauern bis da wieder alles rund läuft.

Wir stellen uns gerade auf ein erhöhtes Anruf-Aufkommen ein…

[UPDATE 14:53] Die Server f.nic.de und l.de.net funktionieren offenbar wieder korrekt. Nun liefern “nur” noch a.nic.de und z.nic.de eine falsche Antwort.

[UPDATE 15:09] a.nic.de antwortet auch wieder. Fehlt nur noch z.nic.de …

[UPDATE 15:19] Nun scheinen alle .de-Rootnameserver wieder da zu sein. Jippie.
Somit dauert es nun “nur” noch maximal 2 Stunden, bis alle fehlerhaften NXDOMAIN-Antworten aus den Caches der DNS-Resolver fliegen. Oder wie wir es unseren Kunden am Telefon formulieren: “Heute Abend geht das Interner voraussichtlich wieder normal.”

Heute gibt’s leider recht viel zu tun - durch die IP-Neuverteilung der ICANN müssen wir alle Server neu verkabeln (die IP-Adressen werden nun in Reihenfolge der Switch-Ports vergeben). Besonders kompliziert ist es bei den redundant angeschlossenen Servern.

Immerhin wird das Internet während dieser Umstellungsphase praktisch abgeschalten - somit dürften kaum Daten verloren gehen. Da unsere Büro-Telefone mit VoIP arbeiten ist es zum Glück auch relativ ruhig.
Weitere Hintergrundinformationen finden sich bei tagesschau.de.

Da es schon ein paar Anfragen gab: die Einführung des E-Mail-Portos steht nicht im Zusammenhang mit der Abschaltung der Root-Server. Das Mail-Porto soll erst gegen Mitte des Jahres gesetzlich vorgeschrieben werden.

Ich halte ja nichts von diesen E-Mail-Disclaimern.

Zumal diese in der Praxis offenbar auch keine Wirkung haben. Eben erst wieder habe ich im Rahmen einer Rückfrage den mit Fullquotes aufgeblähten Mailverkehr eines Kunden mit einem seiner Geschäftspartner erhalten - mit vielen Details, die mich sicher nichts angingen. Und unter jeder gequoteten Mail stand:

Diese E-Mail enthält vertrauliche und/oder rechtlich geschützte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtümlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Email. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser E-Mail ist nicht gestattet.