• IT-Karriere:
  • Services:

Was verschlüsseltes DNS bringt

Einige Gegner von DoH führen an, dass das Protokoll keine neuen Lösungen für die Probleme mit dem DNS-System habe. Mit der Technik DNSSEC gebe es etwa bereits eine authentifizierte Variante von DNS, die die Integrität der Informationen gewährleiste. Nur konnte sich DNSSEC auf Client-Seite nicht durchsetzen, weshalb wir das Protokoll schon im Sommer 2015 abgeschrieben und für gescheitert erklärt haben.

Stellenmarkt
  1. MINIHAUS MÜNCHEN, München
  2. RND RedaktionsNetzwerk Deutschland GmbH, Hannover

Dank der Verwendung des DNS-Formats könnte über DoH künftig sogar vergleichsweise einfach auch eine DNSSEC-Validierung durchgeführt werden. Immerhin werden diese Informationen als DNS Resource Record übertragen, die auch DoH auswerten kann.

Der größte Nachteil von DNSSEC ist, dass dies, anders als DoH, nicht verschlüsselt übertragen wird. So ist ein Mitschneiden und Auswerten der Informationen durch sogenannte Middleboxen jederzeit möglich. Und das ebenfalls verschlüsselte DNScrypt konnte sich bisher auch nicht durchsetzen.

DNS-Verschlüsselung ist hilfreich

Vor allem die Befürworter von DNSSEC wenden hier gern ein, dass eine Verschlüsselung der DNS-Informationen ohnehin keinen zusätzlichen Nutzen bringe. Schließlich sei es dem DNS inhärent, dass Nutzer mit der IP-Adresse der angefragten Domain kommunizierten. Würde die Abfrage verschlüsselt, ließe sich die besuchte Webseite anschließend anhand der IP-Adresse eben wieder in Erfahrung bringen.

In modernen Hosting-Szenarien befinden sich aber oft mehrere Webseiten hinter einer IP-Adresse. Eine Verschlüsselung der Domainabfrage unterbindet somit komplett Rückschlüsse von der IP auf die Domain. Um die Domainnamen in diesem Fall auch nicht über die TLS-Erweiterung SNI preiszugeben, arbeitet die IETF an der verschlüsselten Variante ESNI. Diese wiederum verweist auf DoH zum Absichern der Domainabfragen.

Dank dieser Techniken ist es also eigentlich nicht mehr möglich, durch ein Belauschen der Verbindung an einem Punkt in der Mitte Rückschlüsse auf das Surfverhalten eines Nutzers zu ziehen. Das ist das erklärte Ziel von DoH und dafür brechen die Beteiligten mit einigen Konventionen des DNS-Deployments, was wiederum Kritik entfachte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 DoH-Standard: DNS über HTTPS ist besser als sein RufDNS für den Client 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. 2,79€
  2. 3,90€
  3. 2,99€
  4. 36,99€

treysis 22. Jul 2019

Nein. Eigenes Protokoll zur Namensauflösung über HTTPS.

gaym0r 22. Jul 2019

Dann installier halt einen? https://github.com/jedisct1/dnscrypt-proxy

gaym0r 22. Jul 2019

Warum sollte das nicht erfolgreich sein? Es gibt ja einen externen DNS-Eintrag für die...

Leseratte10 21. Jul 2019

Also "0.0.0.0 golem.de/ads" in der /etc/hosts wird 100% garantiert nicht funktionieren...

Thaodan 21. Jul 2019

Und das macht auch der Standard Wald und Wiesen Router?


Folgen Sie uns
       


Mini-PCs von Asus, Apple und Zotac im Test - Fazit

Wir haben uns den Mac Mini und zwei Alternativen von Asus und Zotac angesehen. Es ist interessant, wie leistungsfähig die Kontrahenten sind.

Mini-PCs von Asus, Apple und Zotac im Test - Fazit Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /