DNS für den Client

Durch das Verlagern der Anfragen direkt in den Client, die Nutzung von HTTP und die Verschlüsselung sind die DNS-Anfragen nicht mehr von üblichem HTTP-Verkehr unterscheidbar. Für Administratoren von Netzwerken, ISPs oder auch Eltern, die Filterregeln für ihre Kinder per DNS einrichten, bedeutet das jedoch, dass dies mit DoH effektiv umgangen werden kann.

Stellenmarkt
  1. Fachinformatiker / Systemadministrator (m/w/d)
    Detlef Hegemann Verwaltungs- und Beteiligungs GmbH, Bremen
  2. IT Service Techniker (m/w/d)/IT Experte (m/w/d) IT-Trainings
    Fresenius Medical Care, Bad Homburg vor der Höhe
Detailsuche

Diese Einsicht war letztlich der Grund für die Nominierung Mozillas als "Internetschurken" durch den Verband der Internet Service Provider (ISP) im Vereinigten Königreich. Der Verband stellte aber selbst schnell fest, dass diese Kritik zu harsch war und nahm die Nominierung zurück. Das Grundproblem der mit DoH vermeintlich fehlenden Filtermöglichkeiten bleibt jedoch noch erhalten.

Mark Nottingham, der Co-Vorsitzende der HTTP- und Quic-Arbeitsgruppe, schreibt dazu auf dem Blog der die für Asien und den Pazifikraum zuständige Registry APNIC, dass die Kontrolle und Konfiguration derartiger Filterregeln künftig eben nicht mehr über das Netzwerk umgesetzt werden könnte, sondern nur über den Client.

In Situationen, in denen Admins bisher legitimerweise Filterregeln per DNS verteilen, sollten diese auch Zugriff auf die Clients zur Umsetzung der DoH-Konfiguration haben. Das gilt in Unternehmensnetzwerken ebenso wie für Eltern mit den Geräten ihrer Kinder.

Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    4. März 2022, Virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
Weitere IT-Trainings

Letztlich fehlen noch die ISPs, die künftig wohl auch DoH-Endpunkte betreiben müssen. Mozilla plant zudem mit weiteren Beteiligten eine DoH-Erweiterung, die einen Wechsel vom bisherigen System DNS Resolver auf dessen DoH-Angebot ermöglicht. Bekommt ein Nutzer also etwa wie bisher von seinem ISP einen Resolver zugewiesen, den das Betriebssystem nutzt, soll der Firefox-Browser diesen Resolver einfach per DoH ansprechen und verwenden. Das kann so natürlich auch von allen anderen Clients und Anwendungen durchgeführt werden.

Wie Nottingham außerdem schreibt, ist es den DoH-Befürwortern wichtig, dass durch derartige Technik die Nutzer letztlich Entscheidungen treffen können sollen. Allein schon unter dieser Maßgabe ist es schwer nachvollziehbar, dass etwa der Entwickler Felix von Leitner Mozilla für die geplante Umsetzung von DoH im Firefox-Browser in seinem Blog vorwirft, einen "Krieg gegen ihre User" zu führen.

Auswahl bleibt beim Nutzer

Ein Teil der Argumentation dafür besteht aus einer Kritik an der vermeintlichen Zentralisierung der DNS-Infrastruktur. Immerhin kooperiert Mozilla für seine DoH-Experimente im Firefox bisher nur mit Cloudflare: Eine Überwachung und Zensur sowie das Herausleiten der DNS-Anfragen etwa für Polizei oder Geheimdienste werde dadurch im Vergleich zum bisherigen System mit vielen DNS-Resolvern deutlich vereinfacht, fürchten Kritiker.

Allerdings ist die Nutzung von DoH im Firefox-Browser mit den Cloudflare-Servern derzeit noch standardmäßig aktiviert und Mozilla sucht aktiv nach weiteren Partnern für sein DoH-Programm. Außerdem sollen die Partner von Mozilla eigenen Datenschutzauflagen sowie natürlich den lokalen Gesetzen unterliegen. Letztlich haben auch mit der DoH-Implementierung im Firefox die Nutzer weiterhin die Wahl, ob und welchen Server sie zur Namensauflösung verwenden.

Wirklich große Unterschiede zu dem bisherigen DNS gibt es mit DoH also nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Was verschlüsseltes DNS bringt
  1.  
  2. 1
  3. 2
  4. 3


treysis 22. Jul 2019

Nein. Eigenes Protokoll zur Namensauflösung über HTTPS.

gaym0r 22. Jul 2019

Dann installier halt einen? https://github.com/jedisct1/dnscrypt-proxy

gaym0r 22. Jul 2019

Warum sollte das nicht erfolgreich sein? Es gibt ja einen externen DNS-Eintrag für die...

Leseratte10 21. Jul 2019

Also "0.0.0.0 golem.de/ads" in der /etc/hosts wird 100% garantiert nicht funktionieren...

Thaodan 21. Jul 2019

Und das macht auch der Standard Wald und Wiesen Router?



Aktuell auf der Startseite von Golem.de
MS Satoshi
Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs

Kryptogeld-Enthusiasten kauften ein Kreuzfahrtschiff und wollten es zum schwimmenden Freiheitsparadies machen. Allerdings scheiterten sie an jeder einzelnen Stelle.
Von Elke Wittich

MS Satoshi: Die abstruse Geschichte des Bitcoin-Kreuzfahrtschiffs
Artikel
  1. Gigafactory Berlin: Tesla verzichtet für Akkufertigung auf staatliche Förderung
    Gigafactory Berlin
    Tesla verzichtet für Akkufertigung auf staatliche Förderung

    Tesla verzichtet für die geplante Akkufertigung in Grünheide bei Berlin auf eine mögliche staatliche Förderung in Milliardenhöhe.

  2. Microsoft: Xbox-Spieler in Halo Infinite von Crossplay genervt
    Microsoft
    Xbox-Spieler in Halo Infinite von Crossplay genervt

    Im Multiplayer von Halo Infinite gibt es offenbar immer mehr Cheater. Nun fordern Xbox-Spieler eine Option, um gemeinsame Partien mit PCs zu vermeiden.

  3. 50 Prozent bei IT-Weiterbildung sparen
     
    50 Prozent bei IT-Weiterbildung sparen

    Die Black Week 2021 in der Golem Karrierewelt läuft weiter: 50 Prozent bei zahlreichen Live-Workshops, Coachings und E-Learnings sparen - noch bis Montag!
    Sponsored Post von Golem Akademie

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Black Friday • Corsair MP600 Pro XT 1TB 167,96€ • Apple Watch Series 6 ab 379€ • Boxsets (u. a. Game of Thrones Blu-ray 79,97€) • Samsung Galaxy S21 128GB 777€ • Premium-Laptops (u. a. Lenovo Ideapad 5 Pro 16" 829€) • MS Surface Pro7+ 888€ • Astro Gaming Headsets [Werbung]
    •  /