• IT-Karriere:
  • Services:

DNS für den Client

Durch das Verlagern der Anfragen direkt in den Client, die Nutzung von HTTP und die Verschlüsselung sind die DNS-Anfragen nicht mehr von üblichem HTTP-Verkehr unterscheidbar. Für Administratoren von Netzwerken, ISPs oder auch Eltern, die Filterregeln für ihre Kinder per DNS einrichten, bedeutet das jedoch, dass dies mit DoH effektiv umgangen werden kann.

Stellenmarkt
  1. WHU - Otto Beisheim School of Management, Düsseldorf
  2. W.I.S. Sicherheit + Service GmbH & Co KG, Köln

Diese Einsicht war letztlich der Grund für die Nominierung Mozillas als "Internetschurken" durch den Verband der Internet Service Provider (ISP) im Vereinigten Königreich. Der Verband stellte aber selbst schnell fest, dass diese Kritik zu harsch war und nahm die Nominierung zurück. Das Grundproblem der mit DoH vermeintlich fehlenden Filtermöglichkeiten bleibt jedoch noch erhalten.

Mark Nottingham, der Co-Vorsitzende der HTTP- und Quic-Arbeitsgruppe, schreibt dazu auf dem Blog der die für Asien und den Pazifikraum zuständige Registry APNIC, dass die Kontrolle und Konfiguration derartiger Filterregeln künftig eben nicht mehr über das Netzwerk umgesetzt werden könnte, sondern nur über den Client.

In Situationen, in denen Admins bisher legitimerweise Filterregeln per DNS verteilen, sollten diese auch Zugriff auf die Clients zur Umsetzung der DoH-Konfiguration haben. Das gilt in Unternehmensnetzwerken ebenso wie für Eltern mit den Geräten ihrer Kinder.

Letztlich fehlen noch die ISPs, die künftig wohl auch DoH-Endpunkte betreiben müssen. Mozilla plant zudem mit weiteren Beteiligten eine DoH-Erweiterung, die einen Wechsel vom bisherigen System DNS Resolver auf dessen DoH-Angebot ermöglicht. Bekommt ein Nutzer also etwa wie bisher von seinem ISP einen Resolver zugewiesen, den das Betriebssystem nutzt, soll der Firefox-Browser diesen Resolver einfach per DoH ansprechen und verwenden. Das kann so natürlich auch von allen anderen Clients und Anwendungen durchgeführt werden.

Wie Nottingham außerdem schreibt, ist es den DoH-Befürwortern wichtig, dass durch derartige Technik die Nutzer letztlich Entscheidungen treffen können sollen. Allein schon unter dieser Maßgabe ist es schwer nachvollziehbar, dass etwa der Entwickler Felix von Leitner Mozilla für die geplante Umsetzung von DoH im Firefox-Browser in seinem Blog vorwirft, einen "Krieg gegen ihre User" zu führen.

Auswahl bleibt beim Nutzer

Ein Teil der Argumentation dafür besteht aus einer Kritik an der vermeintlichen Zentralisierung der DNS-Infrastruktur. Immerhin kooperiert Mozilla für seine DoH-Experimente im Firefox bisher nur mit Cloudflare: Eine Überwachung und Zensur sowie das Herausleiten der DNS-Anfragen etwa für Polizei oder Geheimdienste werde dadurch im Vergleich zum bisherigen System mit vielen DNS-Resolvern deutlich vereinfacht, fürchten Kritiker.

Allerdings ist die Nutzung von DoH im Firefox-Browser mit den Cloudflare-Servern derzeit noch standardmäßig aktiviert und Mozilla sucht aktiv nach weiteren Partnern für sein DoH-Programm. Außerdem sollen die Partner von Mozilla eigenen Datenschutzauflagen sowie natürlich den lokalen Gesetzen unterliegen. Letztlich haben auch mit der DoH-Implementierung im Firefox die Nutzer weiterhin die Wahl, ob und welchen Server sie zur Namensauflösung verwenden.

Wirklich große Unterschiede zu dem bisherigen DNS gibt es mit DoH also nicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Was verschlüsseltes DNS bringt
  1.  
  2. 1
  3. 2
  4. 3


Anzeige
Spiele-Angebote
  1. 19,99€
  2. (u. a. This War of Mine für 4,75€, Children of Morta für 11,99€, Frostpunk für 9,99€, Beat...

treysis 22. Jul 2019

Nein. Eigenes Protokoll zur Namensauflösung über HTTPS.

gaym0r 22. Jul 2019

Dann installier halt einen? https://github.com/jedisct1/dnscrypt-proxy

gaym0r 22. Jul 2019

Warum sollte das nicht erfolgreich sein? Es gibt ja einen externen DNS-Eintrag für die...

Leseratte10 21. Jul 2019

Also "0.0.0.0 golem.de/ads" in der /etc/hosts wird 100% garantiert nicht funktionieren...

Thaodan 21. Jul 2019

Und das macht auch der Standard Wald und Wiesen Router?


Folgen Sie uns
       


Cowboy 3 vs. Vanmoof S3 im Test: Das Duell der Purismus-Pedelecs
Cowboy 3 vs. Vanmoof S3 im Test
Das Duell der Purismus-Pedelecs

Schwarz, schlank und schick sind die urbanen E-Bikes von Cowboy und Vanmoof. Doch nur eines der Pedelecs liest unsere Gedanken.
Ein Praxistest von Martin Wolf

  1. Montage an der Bremse E-Antrieb für Mountainbikes zum Nachrüsten
  2. Hopper Dreirad mit Dach soll Autos aus der Stadt verdrängen
  3. Alternative zum Auto ADAC warnt vor Überlastung von E-Bikes

IT-Jobs: Feedback für Freelancer
IT-Jobs
Feedback für Freelancer

Gutes Feedback ist vor allem für Freelancer rar. Wenn nach einem IT-Projekt die Rückblende hintenüberfällt, ist das aber eine verschenkte Chance.
Ein Bericht von Louisa Schmidt

  1. IT-Freelancer Der kürzeste Pfad zum nächsten Projekt
  2. Selbstständiger Sysadmin "Jetzt fehlen nur noch die Aufträge"

Beoplay H95 im Test: Toller Klang, aber für 800 Euro zu schwache ANC-Leistung
Beoplay H95 im Test
Toller Klang, aber für 800 Euro zu schwache ANC-Leistung

Der Beoplay H95 ist ein ANC-Kopfhörer mit einem tollen Klang. Aber wer dafür viel Geld ausgibt, muss sich mit einigen Kompromissen abfinden.
Ein Test von Ingo Pakalski


      •  /