DNS für den Client

Durch das Verlagern der Anfragen direkt in den Client, die Nutzung von HTTP und die Verschlüsselung sind die DNS-Anfragen nicht mehr von üblichem HTTP-Verkehr unterscheidbar. Für Administratoren von Netzwerken, ISPs oder auch Eltern, die Filterregeln für ihre Kinder per DNS einrichten, bedeutet das jedoch, dass dies mit DoH effektiv umgangen werden kann.

Stellenmarkt
  1. Senior Softwareingenieur - Test für Hubschraubersysteme (gn)
    ESG Elektroniksystem- und Logistik-GmbH, Donauwörth
  2. Applikationsbetreuer*in CRM-System Vertrieb
    Kölner Verkehrs-Betriebe AG, Köln
Detailsuche

Diese Einsicht war letztlich der Grund für die Nominierung Mozillas als "Internetschurken" durch den Verband der Internet Service Provider (ISP) im Vereinigten Königreich. Der Verband stellte aber selbst schnell fest, dass diese Kritik zu harsch war und nahm die Nominierung zurück. Das Grundproblem der mit DoH vermeintlich fehlenden Filtermöglichkeiten bleibt jedoch noch erhalten.

Mark Nottingham, der Co-Vorsitzende der HTTP- und Quic-Arbeitsgruppe, schreibt dazu auf dem Blog der die für Asien und den Pazifikraum zuständige Registry APNIC, dass die Kontrolle und Konfiguration derartiger Filterregeln künftig eben nicht mehr über das Netzwerk umgesetzt werden könnte, sondern nur über den Client.

In Situationen, in denen Admins bisher legitimerweise Filterregeln per DNS verteilen, sollten diese auch Zugriff auf die Clients zur Umsetzung der DoH-Konfiguration haben. Das gilt in Unternehmensnetzwerken ebenso wie für Eltern mit den Geräten ihrer Kinder.

Golem Karrierewelt
  1. Einführung in das Zero Trust Security Framework (virtueller Ein-Tages-Workshop)
    18.01.2023, virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    07.-09.02.2023, Virtuell
Weitere IT-Trainings

Letztlich fehlen noch die ISPs, die künftig wohl auch DoH-Endpunkte betreiben müssen. Mozilla plant zudem mit weiteren Beteiligten eine DoH-Erweiterung, die einen Wechsel vom bisherigen System DNS Resolver auf dessen DoH-Angebot ermöglicht. Bekommt ein Nutzer also etwa wie bisher von seinem ISP einen Resolver zugewiesen, den das Betriebssystem nutzt, soll der Firefox-Browser diesen Resolver einfach per DoH ansprechen und verwenden. Das kann so natürlich auch von allen anderen Clients und Anwendungen durchgeführt werden.

Wie Nottingham außerdem schreibt, ist es den DoH-Befürwortern wichtig, dass durch derartige Technik die Nutzer letztlich Entscheidungen treffen können sollen. Allein schon unter dieser Maßgabe ist es schwer nachvollziehbar, dass etwa der Entwickler Felix von Leitner Mozilla für die geplante Umsetzung von DoH im Firefox-Browser in seinem Blog vorwirft, einen "Krieg gegen ihre User" zu führen.

Auswahl bleibt beim Nutzer

Ein Teil der Argumentation dafür besteht aus einer Kritik an der vermeintlichen Zentralisierung der DNS-Infrastruktur. Immerhin kooperiert Mozilla für seine DoH-Experimente im Firefox bisher nur mit Cloudflare: Eine Überwachung und Zensur sowie das Herausleiten der DNS-Anfragen etwa für Polizei oder Geheimdienste werde dadurch im Vergleich zum bisherigen System mit vielen DNS-Resolvern deutlich vereinfacht, fürchten Kritiker.

Allerdings ist die Nutzung von DoH im Firefox-Browser mit den Cloudflare-Servern derzeit noch standardmäßig aktiviert und Mozilla sucht aktiv nach weiteren Partnern für sein DoH-Programm. Außerdem sollen die Partner von Mozilla eigenen Datenschutzauflagen sowie natürlich den lokalen Gesetzen unterliegen. Letztlich haben auch mit der DoH-Implementierung im Firefox die Nutzer weiterhin die Wahl, ob und welchen Server sie zur Namensauflösung verwenden.

Wirklich große Unterschiede zu dem bisherigen DNS gibt es mit DoH also nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Was verschlüsseltes DNS bringt
  1.  
  2. 1
  3. 2
  4. 3


treysis 22. Jul 2019

Nein. Eigenes Protokoll zur Namensauflösung über HTTPS.

gaym0r 22. Jul 2019

Dann installier halt einen? https://github.com/jedisct1/dnscrypt-proxy

gaym0r 22. Jul 2019

Warum sollte das nicht erfolgreich sein? Es gibt ja einen externen DNS-Eintrag für die...

Leseratte10 21. Jul 2019

Also "0.0.0.0 golem.de/ads" in der /etc/hosts wird 100% garantiert nicht funktionieren...



Aktuell auf der Startseite von Golem.de
Elektromobilität
Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite

Der Verbrauch bei einem Elektroauto von VW schwankt über das Jahr ordentlich. Anders beim Verbrenner. Doch dessen Verbrauch ist ungleich höher.

Elektromobilität: Im Winter hat der ID.3 fast 30 Prozent weniger Reichweite
Artikel
  1. Digitale Dienste und Märkte: Wie DSA und DMA umgesetzt werden
    Digitale Dienste und Märkte
    Wie DSA und DMA umgesetzt werden

    Die Verordnungen über digitale Dienste und Märkte sind inzwischen in Kraft getreten. An ihrer Umsetzung können Interessenvertreter sich noch beteiligen.
    Ein Bericht von Friedhelm Greis

  2. Fit werden für die Cloud - zum halben Preis!
     
    Fit werden für die Cloud - zum halben Preis!

    Ohne Clouddienste geht heute in vielen Unternehmen nicht mehr viel. Die Golem Karrierewelt liefert unverzichtbares Cloud-Know-how mit 50 Prozent Black-Week-Rabatt.
    Sponsored Post von Golem Karrierewelt

  3. Cosmoteer im Test: Factorio im Weltraum
    Cosmoteer im Test
    Factorio im Weltraum

    Eine einzige Person hat über viele Jahre die Sandbox Cosmoteer entwickelt. Dort bauen wir Raumschiffe und kämpfen im All. Achtung, Suchtpotenzial!
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Black Friday bei Mindfactory, MediaMarkt & Saturn • Prime-Filme leihen für je 0,99€ • WD_BLACK SN850 1TB 129€ • GIGABYTE Z690 AORUS ELITE 179€ • SanDisk SSD Plus 1TB 59€ • Crucial P3 Plus 1TB 81,99 • Mindfactory: XFX Speedster ZERO RX 6900 XT RGB EKWB Waterblock LE 809€ [Werbung]
    •  /