Abo
  • Services:

Daniel Stenberg: DNS über HTTPS ist für Endnutzer

Die Übertragung von DNS-Informationen über HTTPS sei nicht nur sicherer als Alternativen, sondern vor allem gut für den Endnutzer, sagt Curl-Entwickler Daniel Stenberg. Noch seien aber nicht alle Probleme mit der Technik gelöst.

Artikel veröffentlicht am ,
DoH ist laut Daniel Stenberg eine gute Methode zur DNS-Auflösung für Nutzer.
DoH ist laut Daniel Stenberg eine gute Methode zur DNS-Auflösung für Nutzer. (Bild: tlsmith1000, flickr.com/CC-BY-SA 2.0)

Seit dem Frühjahr 2017 haben die Beteiligten der Internet Engineering Task Force (IETF) den Vorschlag diskutiert, DNS-Informationen über das verschlüsselte HTTPS-Protokoll zu übertragen und dieses als DNS-over-HTTPS (DoH) schließlich im vergangenen Herbst als Internet-Standard veröffentlicht. Der Entwickler Daniel Stenberg ist für große Teile der DoH-Implementierung im Firefox-Browser zuständig gewesen und erklärte auf der Fosdem-Konferenz die Vorteile der Technik. Diese liegen aus Sicht des Entwicklers vor allem beim Endnutzer.

Inhalt:
  1. Daniel Stenberg: DNS über HTTPS ist für Endnutzer
  2. Probleme für Nutzer und Admins

Bisher werden DNS-Anfragen und -Informationen fast ausschließlich unverschlüsselt übertragen und sind damit zumindest theoretisch angreifbar. Alternative Techniken wie DNSSEC, die diese Informationen zwar authentifizieren, aber nicht verschlüsseln, konnten sich im Bereich der Endnutzer darüber hinaus nie durchsetzen.

Bisherige Versuche zum Verschlüsseln von DNS haben darüber hinaus weitere Probleme. So ist etwa DNSCrypt nie bei der IETF standardisiert worden und wird ebenfalls vergleichsweise wenig genutzt. Mit dem Standard DNS-über-TLS habe die IETF zwar nun auch einen verschlüsselten Übertragungsweg standardisiert. Dies wird aber über einen eindeutigen Port abgewickelt, was sich laut Stenberg relativ einfach blocken lässt und so Nutzern im Zweifel auch nicht helfen kann.

DoH läuft dagegen auf den üblichen HTTP-Ports, also 443 oder auch 80, lässt sich damit nicht von normalem Web-Traffic unterscheiden und kann auch nicht über eine Portsperre blockiert werden. Wie erwähnt sind die übertragenen Daten dann aber nicht nur verschlüsselt, sondern durch die Wiederverwendung der TLS-Infrastruktur samt Zertifikaten auch impliziert authentifiziert. Vertraut der Nutzer dem Betreiber des DoH-Endpunkts und dessen Zertifikat, sollte auch den so erhaltenen DNS-Informationen vertraut werden.

Explizites Vertrauen vom Nutzer

Stellenmarkt
  1. MVV Trading GmbH, Mannheim
  2. DIAMOS AG, Sulzbach

Vor allem dieser letztgenannte Punkt ist für Stenberg wohl entscheidend. Denn in der bisher üblichen Konfiguration der Nutzer wird der DNS-Server per DHCP automatisch im System über ein unverschlüsseltes Protokoll zugewiesen. Selbst wenn Nutzer dennoch einen anderen DNS-Server verwenden, geschieht dies in den meisten Fällen eben auch unverschlüsselt und nicht authentifiziert über das alte DNS-Protokoll.

Im Gegensatz dazu können sich Nutzer von DoH explizit für einen selbstgewählten DNS-Endpunkt entscheiden, dem sie vertrauen, was zudem durch das Zertifikat garantiert werden kann. Nutzer haben damit die Möglichkeit zur bewussten Entscheidung für einen vertrauenswürdigen DNS-Server. Das ist so bisher nicht umsetzbar gewesen.

Stenberg, der inzwischen nicht mehr für Mozilla arbeitet, sondern für WolfSSL, ging in seinem Vortrag aber auch auf damit verbundene Risiken und häufig geäußerte Kritik ein. Diese betreffen einerseits technisch-theoretische Überlegungen sowie andererseits praktische Auswirkungen der Verwendung von DoH.

So wird gegen DoH etwa vorgetragen, dass es sich dabei um eine Verletzung des üblichen Protokollstapels handele. Laut Stenberg stimmt das zwar, ist aber wenig relevant. Immerhin setzt DoH schlicht ein neue Idee um. Darüber hinaus wird oft kritisiert, dass DoH zur Zentralisierung der DNS-Infrastruktur beitrage, was laut Stenberg aber nicht stimmt.

Er räumt zwar ein, dass es derzeit mit Google, Cloudflare und nur sehr wenigen anderen Alternativen kaum Server-Anbieter für DoH gebe; das sei aber kein inhärentes Problem von DoH. Wie bisher schon mit DNS könne im Prinzip jeder mit Zugriff auf einen Server auch einen DoH-Endpunkt umsetzen. Einige freie Software stehe dafür schon bereit.

Probleme für Nutzer und Admins 
  1. 1
  2. 2
  3.  


Anzeige
Hardware-Angebote
  1. 23,99€
  2. täglich neue Deals bei Alternate.de
  3. 119,90€

megazocker 04. Feb 2019 / Themenstart

Muss man auch nicht weils ja jeder bekannte Browser implementiert hat soweit ich weis...

Nigcra 04. Feb 2019 / Themenstart

Lass die 'Newfags' doch machen.. und in 20 Jahren regen sie sich dann über die jungen...

freebyte 04. Feb 2019 / Themenstart

Ein Switch isoliert grundsätzlich die Nutzdaten zwischen den Ports, wer den "gesamten...

ikhaya 04. Feb 2019 / Themenstart

Ich denke das wird man über https://github.com/systemd/systemd/issues/8639 und Ähnliches...

ikhaya 04. Feb 2019 / Themenstart

Die Formulierung ist nicht genau genug ja.

Kommentieren


Folgen Sie uns
       


MTG Arena Ravnica Allegiance - Livestream 2

Im zweiten Teil unseres Livestreams basteln wir ein eigenes neues Deck (dreifarbig!) und ziehen damit in den Kampf.

MTG Arena Ravnica Allegiance - Livestream 2 Video aufrufen
EU-Urheberrecht: Die verdorbene Reform
EU-Urheberrecht
Die verdorbene Reform

Mit dem Verhandlungsergebnis zur EU-Urheberrechtsrichtlinie ist eigentlich niemand zufrieden. Die Einführung von Leistungsschutzrecht und Uploadfiltern sollte daher komplett gestoppt werden.
Ein IMHO von Friedhelm Greis

  1. Uploadfilter Fast 5 Millionen Unterschriften gegen Urheberrechtsreform
  2. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

Honor View 20 im Test: Schluss mit der Wiederverwertung
Honor View 20 im Test
Schluss mit der Wiederverwertung

Mit dem View 20 weicht Huawei mit seiner Tochterfirma Honor vom bisherigen Konzept ab, altgediente Komponenten einfach neu zu verpacken: Das Smartphone hat nicht nur erstmals eine Frontkamera im Display, sondern auch eine hervorragende neue Hauptkamera, wie unser Test zeigt.
Ein Test von Tobias Költzsch

  1. Huawei Honor View 20 mit 48-Megapixel-Kamera kostet ab 570 Euro
  2. Huawei Honor 10 Lite mit kleiner Notch kostet 250 Euro
  3. Huawei Honor View 20 hat die Frontkamera im Display

Struktrurwandel: IT soll jetzt die Kohle nach Cottbus bringen
Struktrurwandel
IT soll jetzt die Kohle nach Cottbus bringen

In Cottbus wird bald der letzte große Braunkohle-Tagebau zum Badesee. Die ansässige Wirtschaft sucht nach neuen Geldquellen und will die Stadt zu einem wichtigen IT-Standort machen. Richten könnten das die Informatiker der Technischen Uni - die werden aber direkt nach ihrem Abschluss abgeworben.
Von Maja Hoock

  1. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  2. Recruiting Wenn die KI passende Mitarbeiter findet
  3. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel

    •  /