Was verschlüsseltes DNS bringt

Einige Gegner von DoH führen an, dass das Protokoll keine neuen Lösungen für die Probleme mit dem DNS-System habe. Mit der Technik DNSSEC gebe es etwa bereits eine authentifizierte Variante von DNS, die die Integrität der Informationen gewährleiste. Nur konnte sich DNSSEC auf Client-Seite nicht durchsetzen, weshalb wir das Protokoll schon im Sommer 2015 abgeschrieben und für gescheitert erklärt haben.

Stellenmarkt
  1. SAP Fiori / ABAP / ABAP OO Entwickler (m/w/x)
    über duerenhoff GmbH, Raum Berlin
  2. Zentrale Koordination / Projektleitung (w/m/d) Technik / Information und Kommunikation, Hochschul- ... (m/w/d)
    Hochschule für Polizei Baden-Württemberg, Villingen-Schwenningen
Detailsuche

Dank der Verwendung des DNS-Formats könnte über DoH künftig sogar vergleichsweise einfach auch eine DNSSEC-Validierung durchgeführt werden. Immerhin werden diese Informationen als DNS Resource Record übertragen, die auch DoH auswerten kann.

Der größte Nachteil von DNSSEC ist, dass dies, anders als DoH, nicht verschlüsselt übertragen wird. So ist ein Mitschneiden und Auswerten der Informationen durch sogenannte Middleboxen jederzeit möglich. Und das ebenfalls verschlüsselte DNScrypt konnte sich bisher auch nicht durchsetzen.

DNS-Verschlüsselung ist hilfreich

Vor allem die Befürworter von DNSSEC wenden hier gern ein, dass eine Verschlüsselung der DNS-Informationen ohnehin keinen zusätzlichen Nutzen bringe. Schließlich sei es dem DNS inhärent, dass Nutzer mit der IP-Adresse der angefragten Domain kommunizierten. Würde die Abfrage verschlüsselt, ließe sich die besuchte Webseite anschließend anhand der IP-Adresse eben wieder in Erfahrung bringen.

Golem Akademie
  1. Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop
    17.–18. Januar 2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    24.–28. Januar 2022, virtuell
Weitere IT-Trainings

In modernen Hosting-Szenarien befinden sich aber oft mehrere Webseiten hinter einer IP-Adresse. Eine Verschlüsselung der Domainabfrage unterbindet somit komplett Rückschlüsse von der IP auf die Domain. Um die Domainnamen in diesem Fall auch nicht über die TLS-Erweiterung SNI preiszugeben, arbeitet die IETF an der verschlüsselten Variante ESNI. Diese wiederum verweist auf DoH zum Absichern der Domainabfragen.

Dank dieser Techniken ist es also eigentlich nicht mehr möglich, durch ein Belauschen der Verbindung an einem Punkt in der Mitte Rückschlüsse auf das Surfverhalten eines Nutzers zu ziehen. Das ist das erklärte Ziel von DoH und dafür brechen die Beteiligten mit einigen Konventionen des DNS-Deployments, was wiederum Kritik entfachte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 DoH-Standard: DNS über HTTPS ist besser als sein RufDNS für den Client 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


treysis 22. Jul 2019

Nein. Eigenes Protokoll zur Namensauflösung über HTTPS.

gaym0r 22. Jul 2019

Dann installier halt einen? https://github.com/jedisct1/dnscrypt-proxy

gaym0r 22. Jul 2019

Warum sollte das nicht erfolgreich sein? Es gibt ja einen externen DNS-Eintrag für die...

Leseratte10 21. Jul 2019

Also "0.0.0.0 golem.de/ads" in der /etc/hosts wird 100% garantiert nicht funktionieren...

Thaodan 21. Jul 2019

Und das macht auch der Standard Wald und Wiesen Router?



Aktuell auf der Startseite von Golem.de
Bald exklusiv bei Disney+
Serien verschwinden aus Abos von Netflix und Prime Video

Acht Serienklassiker gibt es bald nur noch exklusiv bei Disney+ im Abo. Dazu gehören Futurama, Family Guy und 24.
Von Ingo Pakalski

Bald exklusiv bei Disney+: Serien verschwinden aus Abos von Netflix und Prime Video
Artikel
  1. Edge-Browser: Microsoft will Installation von Chrome verhindern
    Edge-Browser
    Microsoft will Installation von Chrome verhindern

    Microsoft intensiviert sein Vorgehen gegen andere Browser: Vor der Installation von Chrome wird Edge übertrieben gelobt.

  2. Samsung Galaxy Tab S7 FE bei Amazon zum Sparpreis
     
    Samsung Galaxy Tab S7 FE bei Amazon zum Sparpreis

    Das hochwertige Tablet von Samsung ist bei Amazon während der Last Minute Angebote um 135 Euro reduziert. Außerdem: Apple und die Galaxy Watch 3.
    Ausgewählte Angebote des E-Commerce-Teams

  3. USA: Europa wenig begeistert von Bidens Internet-Allianz
    USA
    Europa wenig begeistert von Bidens Internet-Allianz

    US-Präsident Joe Biden plant ein Bündnis gegen China und Russland sowie weitere technische Blockaden. Die EU will die Einheit des Internets nicht gefährden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Toshiba Canvio 6TB 88€ • KFA2 Geforce RTX 3070 OC 8GB 1.019€ • Netgear günstiger (u. a. 5-Port-Switch 16,89€) • Norton 360 Deluxe 2022 18,99€ • Gaming-Monitore zu Bestpreisen (u. a. Samsung G3 27" FHD 144Hz 219€) • Spiele günstiger (u. a. Hades PS5 15,99€) [Werbung]
    •  /