Seit 1998 gibt es das IPv6 Protokoll. 340 Trilliarden Billiarden IP Adressen hält es bereit – und sollte der große Wurf in Sachen Internetarchitektur werden. Nie wieder NAT, nie wieder DHCP, integrierte Crypto und überhaupt… Wer sich für den technischen Aufbau des neuen Internet Protokolls interessiert, dem sei die Wikipedia ans Herz gelegt – die technischen Details wollen wir hier nicht wiederholen. Nur soviel: im Vergleich zu IPv6 wirkt das Vorgängerprotokoll IPv4 geradezu lächerlich klein: IPv4 hat gerade mal 4.294.967.296 Adressen zu verteilen – wobei gut 4 Milliarden IP-Adressen wirklich nichts sind auf einer Welt, in der knapp 10 Milliarden Menschen jeweils zwei Smartphones besitzen wollen.
Soft- und Hardware für IPv6
Doch, bleiben wir positiv: Softwareseitig wird IPv6 schon eine ganze Weile gut unterstützt. Windows 7, IOS4 und Android 2.3 konnten bzw. können das neue Internet Protokoll – wobei man bei Androiden die Einschränkung mitgeben muss, dass die hart verbauten UMTS Controller oft genug mit IPv6 nichts anfangen können. Herzlichen Glückwunsch – so geht IPv6 dann eben nur im LAN.
Die technische Einführung von IPv6 zog sich in Deutschland etwas hin – genau genommen ist sie oft genug noch nicht abgeschlossen. Immerhin, die Deutsche Telekom und auch Kabelnetzbetreiber wie bspw. Unitymedia bzw. KabelBW haben IPv6 in irgendeiner Weise implementiert. Also alles gut? Abwarten.
IPv6 Privacy Extension
Eine gewisse Komik erhält das Thema IPv6 beim Umgang mit der Privatsspähre. Offenbar dachten einige Datenschützer, dass sich die Menschen besonders anonym im Internet bewegen könnten, wenn sie denn nur oft genug ihre IP-Adresse wechseln würden. Jeder Kunde sollte also genug Adressen haben – und so kam es dann auch. Die Bundesnetzagentur ermunterte die Provider in Deutschland dazu, ihren Kunden /56 bzw. /64 Bit große Subnetze zuzuteilen. D.h., der Standard-Telekom-VDSL Kunde erhält 2^64 IP-Adressen (18.446.744.073.709.551.616) – muss also mit 18 Trillionen Adressen im heimischen LAN auskommen.
Obwohl 18 Trillionen IP Adressen pro Kunde(!) erstmal viel klingen, liegt der Teufel aber im Detail – und zwar im grundsätzlichen Aufbau einer IPv6 Adresse. Die sieht im konkreten Fall bspw. so aus: 2001:0db8:0000:08d3:0000:8a2e:0070:7344.
Der rote Teil der IP-Adresse ist feststehend und wird vom Provider dem Endkunden zugeteilt. Der grüne Teil „gehört“ dem Kunden – und innerhalb dieses Segments kann sich der Router des Kunden beliebige IP-Adressen zurecht würfeln. Soweit sogut. Blöd nur ist, dass die Tracking-Industrie nicht lange brauchen wird, um herauszufinden, dass der grüne Teil der Adresse für das Tracking völlig unerheblich ist, da ja der rote Teil schon zur Identifizierung eines Kunden ausreichen wird. Die Idee nach Privatheit im Netz war ein löbliches Ziel, so jedoch wird das nichts.
IPv6 und SSL
Nicht unbedingt komisch aber dennoch verwunderlich ist, wie IPv6 und SSL zusammen passen bzw. nicht passen. Obwohl technisch gesehen nichts dagegen spricht, dass SSL auch über IPv6 betrieben wird, sieht es in der Praxis doch ziemlich mau aus. Die wenigen Webserver, die auf IPv6 antworten, bekommen SSL in den meisten Fällen nicht geregelt. Unserer Vermutung nach liegt das daran, weil speziell beim weitverbreiteteten Apache Webserver nicht nur das Betriebssystem sondern auch die Apache-Config angepasst werden will, damit der Server ein korrektes Zertifikat ausliefern kann. Und außerdem gibt es auch immer noch SSL-Zertifikate, die hart mit der IPv4-Adresse verbandelt sind. Selbst beim IPv6-Vorbildportal heise.de klappt der SSL-gesicherte Softwaredownload nicht, wenn man den Server über das neue Internetprotokoll ansteuert.
Top 500 Websites in Deutschland
Um konkret etwas über die Verbreitung von IPv6 in Deutschland zu erfahren, haben wir die Probe aufs Exempel gemacht. Dazu haben wir uns einen Squid-Proxy aufgesetzt, der ausschließlich seinen ausgehenden Traffic über IPv6-Adressen abwickeln konnte. IPv4 wurde gesperrt – technisch gesprochen haben wir diesen Traffic gegen 127.0.0.1 laufen lassen 😉
Anschließend haben wir die renomierte Alexa-Liste der Top 500 Websites aus Deutschland genommen und das Internet-Urgestein Xenu’s Link Sleuth die Sites überprüfen lassen. Hier das Ergebnis:
Von den Top500 Sites in DE sind gerade mal 47 per IPv6 erreichbar. Soviel zum Internet of Things. Mehr dazu beim #webmmr am kommenden Montag
— Andreas W. Ditze (@andreaswditze) June 3, 2016
Immerhin: Lokale Größen wie Heise, mobile.de, 1&1 oder Strato sind über das moderne Internetprotokoll zu erreichen.
Auf der anderen Seite: Von Aldi (Nord und Süd), ARD und Computerbild bis hin zu ZDF und Zeit.de hat sich der überragende Teil der deuschen Websites nicht mit IPv6 auseinander gesetzt. Wohl dem, der darauf baut, dass jeder Provider seinen Kunden einen 4-to-6 Proxy bereit stellt.
Top 500 Websites weltweit
Wir haben dasselbe Experiment anschließend auch mit der Liste der Top500 Websites weltweit wiederholt – auch diesmal stand uns Alexa Pate. Hier war das Ergebnis noch viel niederschmetternder.
Und immerhin: dank Google sind von den Top500 Sites weltweit schon 95 per IPv6 erreichbar #webmmr #webmontag #marburg
— Andreas W. Ditze (@andreaswditze) June 3, 2016
Rechnerisch sind im internationalen Vergleich zwar gut doppelt so viele Websites über IPv6 erreichbar denn in Deutschland. Diese Zahl wird jedoch dadurch verfälscht, dass sehr viele lokale Google Dienste (insbesondere Google News) die Statistik ins Positive drücken. Ohne Google sähe es im Schnitt weltweit kaum besser aus als in Deutschland.
Internationale Websites mit IPv6 Unterstützung sind u.a. Facebook, Google, Netflix, Yahoo oder Yandex.
Internationale Websites ohne IPv6 Unterstützung finden sich an gänzlich unerwarteten Stellen – zum Beispiel bei Adobe, Amazon, Apple, Dropbox, Ebay, Microsoft oder WhatsApp.
Fazit
IPv6 wird nur völlig unzureichend unterstützt. Selbst die top-moderne Microsoft Cloud Azure oder das Hochleistungssystem AWS von Amazon beherrschen kein IPv6. Und schlimmer noch: die stets innovationsfreudige Pornoindustrie hat nicht mal im Ansatz die neue Technik aufgenommen – dem Namen nach tauchte gerade mal ein(!) Porno-Provider in der Liste der IPv6 Unterstützer auf. Da verwundert es kaum, dass auch der örtliche Provider bei tripuls auf Anfrage schriftlich mitteilte, dass IPv6 bisher im Geschäftskundenbereich noch nicht einmal angefragt wurde.
Was also bleibt? Technisch wird IPv6 gebraucht, sonst werden insbesondere die stark wachsenden asiatischen Volkswirtschaften ein technisches Problem bekommen, ihre Bevölkerung mit IT-Gadgets ausstatten zu können. Auf der anderen Seite werden Brückentechnologien wie 4-to-6 Gateways oder Dual Stack Light keine Dauerlösung seien können – leidgeplagte Kunden von Unitymedia oder KabelBW wissen bereits, was es heißt, mit einer solchen Krücke mit dem Rest des Internets verkehren zu müssen.
Es hilft nichts: wer das Problem verstanden hat, der lässt seinen Webserver fitt für IPv6 machen – und stellt bei der Gelegenheit auch gleich auf SSL um 😉