Auf der Google IPv6 Implementors Conference hat Facebook sein Konzept zur IPv6-Implementierung vorgestellt.

Demnach wird es noch einige Zeit dauern, bis die Codebase IPv6 spricht, aber schon jetzt ist das Netzwerk unter der Adresse www.v6.facebook.com per IPv6 erreichbar. IPv6-Verbindungen werden dabei von einem Load Balancer auf IPv4 umgesetzt, ganz ähnlich wie dies bei Heise der Fall ist.

Auch wenn Facebook nicht bei jedem beliebt ist, muss man doch zumindest anerkennen, dass mit dieser Aktion eine der größten Seiten nun per IPv6 erreichbar ist, was vielleicht (…) der Verbreitung des Protokolls weiterhilft.

Seit 2. Juli 2009 testet die DeNIC zusammen mit dem BSI und verschiedenen Providern des eco die Signierung der de-Zone mittels DNSSEC im Rahmen eines eigenen Testbed.

Wer über einen Resolver verfügt, der den Algorithmus RSASHA256 beherrscht (Unbound ab 1.4 oder BIND ab 9.7), kann die beiden DNSSEC-Nameserver der DeNIC in Frankfurt und Amsterdam nutzen. Der Server in Frankfurt kann dabei auch IPv6. Konfigurationsbeispiele für BIND und Unbound sind auf der DeNIC-Seite angegeben.

Eigene de-Domains lassen sich natürlich auch signieren. Damit die Chain-of-Trust (im Idealfall sieht die folgendermaßen aus: . (Root-Zone) -> de. -> example.de.) vollständig ist, muss aber der öffentliche Teil des Schlüssels bei der DeNIC hinterlegt werden und hier spielen bisher leider nur wenige Provider mit. Mir ist aktuell nur Hostserver bekannt, der auch die Registration der Domain tech-nerds-dnssec.de übernommen hat. Die Domain ist selbstverständlich signiert und eignet sich so auch, um den eigenen Resolver zu testen. Das geht in gewohnter Weise mit dem Tool dig.
dig +dnssec tech-nerds-dnssec.de

Wenn dig hier das Flag ad ausgibt, konnte die Antwort erfolgreich authentifiziert werden.

Wer bisher per whois-Client die Kontaktdaten von de-Domains abgefragt hat, hat auf diesem Wege auch evtl. vorhandene IPv6-Glue Records angezeigt bekommen, während das Webinterface bei DeNIC diese Einträge schlicht verschwiegen hat.

Inzwischen hat DeNIC dieses Verhalten offenbar geändert.

Der Erlang-basierte Webserver Yaws ist in Version 1.88 erschienen. Die nennenswerteste Neuerung ist sicherlich die IPv6-Unterstützung, womit Yaws nun als echte Alternative zu Apache in Frage kommt – für mich zumindest. Nicht unterstützt werden weiterhin .htaccess-Dateien. Die Konfiguration der vHosts lässt aber die wichtigsten Funktionen, wie beispielsweise Authentifizierung oder Redirects, zu.

Google nicht erreichbar? Und das über Stunden?

Natürlich nicht. Lediglich die IPv6-Adressen, die ich in meine Hosts-Datei eingefügt hatte, waren nicht mehr aktuell. War nur nicht gleich aufgefallen, weil die SixXS-Nameserver ebenfalls nicht die aktuellen IPs kannten.

Dieser Blog brachte die Aufklärung. Dort ist eine Tabelle mit den aktuellen Google IPv6-Adressen zu finden. In Deutschland scheinen alle für Europa vorgesehenen Subnetze zu funktionieren.

Seit geraumer Zeit bietet DeNIC die Möglichkeit, für Glue Records IPv6-Adressen anzugeben.

Glue Records bieten die Möglichkeit, Nameserver-Adressen unter der eigenen Domain zu verwenden. Beispielsweise also ns1.tech-nerds.de und ns2.tech-nerds für die Domain tech-nerds.de. Damit diese Ausflösung funktioniert, müssen neben den Namen der Nameserver natürlich auch deren IP-Adressen bekannt sein. Diese in IP-Version 4 mit anzugeben, ist praktisch bei jedem Registrar möglich. Um Seiten gänzlich per IPv6 erreichbar zu machen, ist es natürlich erforderlich, dass auch Glue Records nicht mehr nur per IPv4 angegeben werden. DeNIC erfordert zwar weiterhin die zwangsweise Angabe einer IPv4-Adresse für Glue Records, aber diese können durchaus durch IPv6-Adressen ergänzt werden. Bei der DeNIC selbst ist bisher ein einziger Nameserver für die Zone de. IPv6-fähig. Genau genommen der letzte im Bunde:
f.nic.de 2001:608:6:6::10


Mein Domain-Hoster war nun so freundlich, diese Einträge für meine Nameserver manuell vorzunehmen (automatisiert geht es dort noch nicht). Somit sind meine Seiten auch komplett IPv4-frei zu erreichen.

; <<>> DiG 9.5.1-P3 <<>> tech-nerds.de @f.nic.de
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 48133
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 4
;; WARNING: recursion requested but not available

;; QUESTION SECTION:
;tech-nerds.de. IN A

;; AUTHORITY SECTION:
tech-nerds.de. 86400 IN NS ns1.tech-nerds.de.
tech-nerds.de. 86400 IN NS ns2.tech-nerds.de.

;; ADDITIONAL SECTION:
ns1.tech-nerds.de. 86400 IN A 87.98.178.251
ns1.tech-nerds.de. 86400 IN AAAA 2001:41d0:2:4887::d1
ns2.tech-nerds.de. 86400 IN A 85.183.2.9
ns2.tech-nerds.de. 86400 IN AAAA 2001:6f8:11ea:1337::deed

;; Query time: 6 msec
;; SERVER: 81.91.164.5#53(81.91.164.5)
;; WHEN: Tue Sep 7 01:19:54 2010
;; MSG SIZE rcvd: 155

Daran kann sich der Rest des Internet doch mal ein Beispiel nehmen.