Was verschlüsseltes DNS bringt

Einige Gegner von DoH führen an, dass das Protokoll keine neuen Lösungen für die Probleme mit dem DNS-System habe. Mit der Technik DNSSEC gebe es etwa bereits eine authentifizierte Variante von DNS, die die Integrität der Informationen gewährleiste. Nur konnte sich DNSSEC auf Client-Seite nicht durchsetzen, weshalb wir das Protokoll schon im Sommer 2015 abgeschrieben und für gescheitert erklärt haben.

Stellenmarkt
  1. Mitarbeiterin / Mitarbeiter (w/m/d) IT-Koordination
    Berliner Stadtreinigungsbetriebe (BSR), Berlin
  2. Software Engineer - Radar Detection (m/f/d)
    Continental AG, Neu-Ulm
Detailsuche

Dank der Verwendung des DNS-Formats könnte über DoH künftig sogar vergleichsweise einfach auch eine DNSSEC-Validierung durchgeführt werden. Immerhin werden diese Informationen als DNS Resource Record übertragen, die auch DoH auswerten kann.

Der größte Nachteil von DNSSEC ist, dass dies, anders als DoH, nicht verschlüsselt übertragen wird. So ist ein Mitschneiden und Auswerten der Informationen durch sogenannte Middleboxen jederzeit möglich. Und das ebenfalls verschlüsselte DNScrypt konnte sich bisher auch nicht durchsetzen.

DNS-Verschlüsselung ist hilfreich

Vor allem die Befürworter von DNSSEC wenden hier gern ein, dass eine Verschlüsselung der DNS-Informationen ohnehin keinen zusätzlichen Nutzen bringe. Schließlich sei es dem DNS inhärent, dass Nutzer mit der IP-Adresse der angefragten Domain kommunizierten. Würde die Abfrage verschlüsselt, ließe sich die besuchte Webseite anschließend anhand der IP-Adresse eben wieder in Erfahrung bringen.

Golem Karrierewelt
  1. Linux-Systemadministration Grundlagen: virtueller Fünf-Tage-Workshop
    09.-13.01.2023, Virtuell
  2. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    07.-09.12.2022, Virtuell
Weitere IT-Trainings

In modernen Hosting-Szenarien befinden sich aber oft mehrere Webseiten hinter einer IP-Adresse. Eine Verschlüsselung der Domainabfrage unterbindet somit komplett Rückschlüsse von der IP auf die Domain. Um die Domainnamen in diesem Fall auch nicht über die TLS-Erweiterung SNI preiszugeben, arbeitet die IETF an der verschlüsselten Variante ESNI. Diese wiederum verweist auf DoH zum Absichern der Domainabfragen.

Dank dieser Techniken ist es also eigentlich nicht mehr möglich, durch ein Belauschen der Verbindung an einem Punkt in der Mitte Rückschlüsse auf das Surfverhalten eines Nutzers zu ziehen. Das ist das erklärte Ziel von DoH und dafür brechen die Beteiligten mit einigen Konventionen des DNS-Deployments, was wiederum Kritik entfachte.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 DoH-Standard: DNS über HTTPS ist besser als sein RufDNS für den Client 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


treysis 22. Jul 2019

Nein. Eigenes Protokoll zur Namensauflösung über HTTPS.

gaym0r 22. Jul 2019

Dann installier halt einen? https://github.com/jedisct1/dnscrypt-proxy

gaym0r 22. Jul 2019

Warum sollte das nicht erfolgreich sein? Es gibt ja einen externen DNS-Eintrag für die...

Leseratte10 21. Jul 2019

Also "0.0.0.0 golem.de/ads" in der /etc/hosts wird 100% garantiert nicht funktionieren...



Aktuell auf der Startseite von Golem.de
Entlassungen bei Tech-Unternehmen
Welche Branchen zurzeit am stärksten betroffen sind

Das Jahr ist von Massenentlassungen bei Tech-Unternehmen geprägt. Wir haben per Open Data analysiert, welche Branchen das besonders betrifft.
Von Felix Uelsmann

Entlassungen bei Tech-Unternehmen: Welche Branchen zurzeit am stärksten betroffen sind
Artikel
  1. Erneuerbare Energien: Wie Island seinen Ökostrom doppelt verkauft
    Erneuerbare Energien
    Wie Island seinen Ökostrom doppelt verkauft

    Ein europäisches System zum Handel mit Strom ermöglicht fragwürdige Geschäfte, bei denen derselbe Ökostrom mehrfach angerechnet wird.
    Eine Recherche von Hanno Böck

  2. Jetzt 50 Prozent bei IT-Workshops sparen!
     
    Jetzt 50 Prozent bei IT-Workshops sparen!

    Nur noch bis Mittwoch: Workshops, E-Learning-Kurse, Coachings und vieles mehr zum halben Preis! Jetzt zuschlagen und den Preisvorteil nutzen!
    Sponsored Post von Golem Karrierewelt

  3. Pilotprojekte für E-Autos: Eine Blaupause für die Ladeinfrastruktur von morgen
    Pilotprojekte für E-Autos
    Eine Blaupause für die Ladeinfrastruktur von morgen

    In mehreren Feldversuchen hat Netze BW die Elektrifizierung von Straßen und Tiefgaragen getestet. Die Ergebnisse könnten für alle Netzbetreiber hilfreich sein.
    Ein Bericht von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung Cyber Week • LG OLED TVs (2022) über 50% günstiger • AOC Curved 34" WQHD 389€ • Palit RTX 4080 1.499€ • Astro A50 Gaming-Headset PS4/PS5/PC günstiger • MindStar: Intel Core i7 12700K 359€ • Gigabyte RX 6900 XT 799€ • Thrustmaster Flight Sticks günstiger [Werbung]
    •  /