Abo
  • IT-Karriere:

DoH-Standard: DNS über HTTPS ist besser als sein Ruf

Die Diskussionen zum Standard DNS over HTTPS (DoH) ähneln mittlerweile einer Propagandaschlacht. Häufig basiert die Kritik jedoch auf Unkenntnis und Falschinformationen. Wir stellen richtig.

Artikel von veröffentlicht am
Wir entwirren die Missverständnisse über DoH.
Wir entwirren die Missverständnisse über DoH. (Bild: Michael Bocchieri/Getty Images)

Um das von der Internet Engineering Task Force (IETF) standardisierte Protokoll DNS over HTTPS ist ein öffentlicher Streit entbrannt, der weit über eine sachliche Auseinandersetzung hinausgeht. Jüngste Beispiele sind etwa von Medien verbreitete Falschmeldungen zu DoH und die später zurückgenommen Nominierung des Browserherstellers Mozilla als "Internetschurken". Oft basieren solche Äußerungen auf Unkenntnis. Wir haben uns die am häufigsten vorgetragenen Kritikpunkte an DoH genauer angeschaut.

Inhalt:
  1. DoH-Standard: DNS über HTTPS ist besser als sein Ruf
  2. Was verschlüsseltes DNS bringt
  3. DNS für den Client

Die wohl wichtigsten betreffen die Funktionsweise von DoH selbst. Hier wird oft behauptet, dass DoH nichts mehr mit dem DNS-Protokoll gemein habe und viel komplexer sei als das inzwischen mehr als 30 Jahre alte Original. Das stimmt so jedoch nicht, was ein Blick in den Standard (RFC 8484) schnell zeigt.

Dort wird ganz klar festgelegt, dass der Standard - wie der Name sagt - DNS-Anfragen und -Antworten nach dem Originalstandard (RFC 1035) per HTTPS überträgt. Die DNS-Information wird bei DoH schlicht per HTTP getunnelt und nicht wie bisher üblich über UDP (User Datagram Protocol) transportiert. Diese neue Art Transportweg für das sogenannte Wireformat können auch bestehende DNS-Clients oder Webanwendungen einfach weiterbenutzen.

Ein gängiges Missverständnis zu DoH ist in diesem Zusammenhang die Annahme, DoH würde nicht wie beschrieben das DNS-Format benutzen, sondern JSON. Dabei handelt es sich wohl um eine Verwechslung - Google bietet solch einen Dienst an. Standardisiert ist das JSON-API für DNS aber nicht und auch Google trennt dieses Angebot klar von dem ebenfalls bestehenden DoH-Endpunkt.

Bekanntes wiederverwenden

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. moBiel GmbH, Bielefeld

Da DoH direkt auf dem alten DNS-Format aufbaut, wird auch klar, warum das Protokoll - anders als oft behauptet - nicht sehr viel mehr Komplexität bedeutet. Denn zusätzlich zu dem bisherigen DNS werden auch die seit Jahrzehnten bekannten und erprobten Protokolle HTTP zur Übertragung und TLS zur Verschlüsselung wiederverwendet.

Fast jede Programmiersprache bietet die Verwendung dieser Protokolle inzwischen standardmäßig als Teil ihrer Bibliotheken an. Und falls dies nicht der Fall sein sollte, gibt es für Entwickler immer noch das Multifunktionswerkzeug zur Dateiübertragung Curl. Die gesamte DoH-Implementierung in Curl umfasst inklusive Dokumentation und Tests lediglich 1.500 Zeilen Code. Auch die DoH-Implementierung der für die Android- und Java-Entwicklung vielgenutzten Bibliothek OkHTTP ist ähnlich klein.

Ein Standalone-Client zur Namensauflösung, der auf dem Curl-Code basiert und die DNS-Records selbst parst, umfasst ebenfalls weniger als 1.000 Zeilen Code. Bestehende Anwendungen, die den Umgang mit den DNS-Angaben beherrschen, müssen zur DoH-Unterstützung also eigentlich nur den genutzten Transportweg ändern.

Natürlich lässt sich hier einwenden, dass DoH-Implementierungen etwa in Browsern noch deutlich mehr Funktionen bieten und damit auch deutlich mehr Code umfassen. Anwendungen, die aber mit dem alten Protokoll DNS-Informationen selbst verarbeiten, cachen, weiterleiten oder Nutzern Möglichkeiten zur Konfiguration bieten, sind auch schon jetzt logischerweise größer als eine Minimalimplementierung von DNS. Derartige Zusatzfunktionen dem DoH-Protokoll anzulasten, ist nicht sinnvoll.

Darüber hinaus gibt es durch die Abkehr von DNS über UDP und die Zuwendung zu DoH sehr viele Vorteile, die das DNS-System dank HTTP einfach dazugewinnt: Dazu gehören etwa ein Proxy-Support oder auch das Multiplexing und der Server-Push von HTTP2. Der an der DoH-Standardisierung beteiligten Patrick McManus zählt einige weitere Vorteile in diesem Bereich auf.

Der dabei wohl wichtigste Punkt von McManus ist, dass mit HTTP/3, das auf dem kommenden Quic-Protokoll basiert, auch DoH schlicht auf Quic wechseln kann. Um all diese Eigenschaften auch mit dem bestehenden DNS-System umzusetzen, müsste ebenso sehr viel mehr Code erstellt werden als bisher.

Neben diesen Fragen zu den technischen Eigenheiten des Protokolls selbst gibt es auch unzureichend durchdachte Kritik an der Idee und Umsetzung von DoH.

Was verschlüsseltes DNS bringt 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Top-Angebote
  1. (Gutscheincode MSPC50) Alternate.de
  2. (u. a. Seagate Backup Plus Hub 8 TB für 149,00€, Toshiba 240-GB-SSD für 29,00€, Sandisk...
  3. 135,00€ (Bestpreis!)
  4. (u. a. The Elder Scrolls Online: Elsweyr für 15,99€, Diablo 3 Battlechest für 17,49€, Iratus...

treysis 22. Jul 2019 / Themenstart

Nein. Eigenes Protokoll zur Namensauflösung über HTTPS.

gaym0r 22. Jul 2019 / Themenstart

Dann installier halt einen? https://github.com/jedisct1/dnscrypt-proxy

gaym0r 22. Jul 2019 / Themenstart

Warum sollte das nicht erfolgreich sein? Es gibt ja einen externen DNS-Eintrag für die...

Leseratte10 21. Jul 2019 / Themenstart

Also "0.0.0.0 golem.de/ads" in der /etc/hosts wird 100% garantiert nicht funktionieren...

Thaodan 21. Jul 2019 / Themenstart

Und das macht auch der Standard Wald und Wiesen Router?

Kommentieren


Folgen Sie uns
       


Geforce RTX 2070 Super und Geforce RTX 2060 Super - Test

Die Geforce RTX 2070 Super und die Geforce RTX 2060 Super sind Nvidias neue Grafikkarten für 530 Euro sowie 420 Euro. Beide haben 8 GByte Videospeicher und unterstützen Raytracing in Spielen.

Geforce RTX 2070 Super und Geforce RTX 2060 Super - Test Video aufrufen
Hyundai Kona Elektro: Der Ausdauerläufer
Hyundai Kona Elektro
Der Ausdauerläufer

Der Hyundai Kona Elektro begeistert mit Energieeffizienz, Genauigkeit bei der Reichweitenberechnung und umfangreicher technischer Ausstattung. Nur in Sachen Emotionalität und Temperament könnte er etwas nachlegen.
Ein Praxistest von Dirk Kunde

  1. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  2. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs
  3. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr

Probefahrt mit Mercedes EQC: Ein SUV mit viel Wumms und wenig Bodenfreiheit
Probefahrt mit Mercedes EQC
Ein SUV mit viel Wumms und wenig Bodenfreiheit

Mit dem EQC bietet nun auch Mercedes ein vollelektrisch angetriebenes SUV an. Golem.de hat auf einer Probefahrt getestet, ob das Elektroauto mit Audis E-Tron mithalten kann.
Ein Erfahrungsbericht von Friedhelm Greis

  1. Freightliner eCascadia Daimler bringt Elektro-Lkw mit 400 km Reichweite
  2. Mercedes-Sicherheitsstudie Mit der Lichtdusche gegen den Sekundenschlaf
  3. Elektro-SUV Produktion des Mercedes-Benz EQC beginnt

Schienenverkehr: Die Bahn hat wieder eine Vision
Schienenverkehr
Die Bahn hat wieder eine Vision

Alle halbe Stunde von einer Stadt in die andere, keine langen Umsteigezeiten zur Regionalbahn mehr: Das verspricht der Deutschlandtakt der Deutschen Bahn. Zu schön, um wahr zu werden?
Eine Analyse von Caspar Schwietering

  1. DB Navigator Deutsche Bahn lädt iOS-Nutzer in Betaphase ein
  2. One Fiber EWE will Bahn mit bundesweitem Glasfasernetz ausstatten
  3. VVS S-Bahn-Netz der Region Stuttgart bietet vollständig WLAN

    •  /