• IT-Karriere:
  • Services:

Was verschlüsseltes DNS bringt

Einige Gegner von DoH führen an, dass das Protokoll keine neuen Lösungen für die Probleme mit dem DNS-System habe. Mit der Technik DNSSEC gebe es etwa bereits eine authentifizierte Variante von DNS, die die Integrität der Informationen gewährleiste. Nur konnte sich DNSSEC auf Client-Seite nicht durchsetzen, weshalb wir das Protokoll schon im Sommer 2015 abgeschrieben und für gescheitert erklärt haben.

Stellenmarkt
  1. Sky Deutschland GmbH, Unterföhring bei München
  2. SCHOTT AG, Mainz

Dank der Verwendung des DNS-Formats könnte über DoH künftig sogar vergleichsweise einfach auch eine DNSSEC-Validierung durchgeführt werden. Immerhin werden diese Informationen als DNS Resource Record übertragen, die auch DoH auswerten kann.

Der größte Nachteil von DNSSEC ist, dass dies, anders als DoH, nicht verschlüsselt übertragen wird. So ist ein Mitschneiden und Auswerten der Informationen durch sogenannte Middleboxen jederzeit möglich. Und das ebenfalls verschlüsselte DNScrypt konnte sich bisher auch nicht durchsetzen.

DNS-Verschlüsselung ist hilfreich

Vor allem die Befürworter von DNSSEC wenden hier gern ein, dass eine Verschlüsselung der DNS-Informationen ohnehin keinen zusätzlichen Nutzen bringe. Schließlich sei es dem DNS inhärent, dass Nutzer mit der IP-Adresse der angefragten Domain kommunizierten. Würde die Abfrage verschlüsselt, ließe sich die besuchte Webseite anschließend anhand der IP-Adresse eben wieder in Erfahrung bringen.

In modernen Hosting-Szenarien befinden sich aber oft mehrere Webseiten hinter einer IP-Adresse. Eine Verschlüsselung der Domainabfrage unterbindet somit komplett Rückschlüsse von der IP auf die Domain. Um die Domainnamen in diesem Fall auch nicht über die TLS-Erweiterung SNI preiszugeben, arbeitet die IETF an der verschlüsselten Variante ESNI. Diese wiederum verweist auf DoH zum Absichern der Domainabfragen.

Dank dieser Techniken ist es also eigentlich nicht mehr möglich, durch ein Belauschen der Verbindung an einem Punkt in der Mitte Rückschlüsse auf das Surfverhalten eines Nutzers zu ziehen. Das ist das erklärte Ziel von DoH und dafür brechen die Beteiligten mit einigen Konventionen des DNS-Deployments, was wiederum Kritik entfachte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 DoH-Standard: DNS über HTTPS ist besser als sein RufDNS für den Client 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Spiele-Angebote
  1. 17,99€
  2. 24,29€
  3. 27,99€

treysis 22. Jul 2019

Nein. Eigenes Protokoll zur Namensauflösung über HTTPS.

gaym0r 22. Jul 2019

Dann installier halt einen? https://github.com/jedisct1/dnscrypt-proxy

gaym0r 22. Jul 2019

Warum sollte das nicht erfolgreich sein? Es gibt ja einen externen DNS-Eintrag für die...

Leseratte10 21. Jul 2019

Also "0.0.0.0 golem.de/ads" in der /etc/hosts wird 100% garantiert nicht funktionieren...

Thaodan 21. Jul 2019

Und das macht auch der Standard Wald und Wiesen Router?


Folgen Sie uns
       


    •  /