Abo
  • Services:

IETF: DNS über HTTPS ist besser als DNS

Die IETF diskutiert einen Vorschlag, um DNS-Informationen nativ über HTTPS zu übertragen. Der Grund ist laut einem der Autoren des Entwurfs ganz einfach: Über Port 443 lässt sich mehr machen, als Bilder zu übertragen, und es ist einfach besser.

Artikel veröffentlicht am ,
DNS übersetzt IP-Adresse in leicht verständliche Namen und vereinfacht damit die Verbindung von Rechnern.
DNS übersetzt IP-Adresse in leicht verständliche Namen und vereinfacht damit die Verbindung von Rechnern. (Bild: Lars P, flickr.com/CC-BY 2.0)

Seit Herbst vergangenen Jahres diskutiert eine kleine Gruppe von Entwicklern innerhalb der Internet Engineering Task Force (IETF) die Idee, Informationen des Domain-Name-Systems (DNS) nativ über HTTPS zu übertragen. Auf dem IETF Meeting 99, das derzeit in Prag stattfindet, gibt es große Unterstützung für die Idee und die Dispatch-Arbeitsgruppe ist bereit, das Thema weiter zu verfolgen und möglicherweise an eine existierende Arbeitsgruppe zu übertragen oder gar eine neue dafür einzusetzen.

Stellenmarkt
  1. autinity systems GmbH, Chemnitz
  2. Corporate Business Solutions GmbH, Stuttgart, Dortmund, Hamburg, Heidelberg, München

Der Icann-Angestellte Paul Hoffman begründet die Idee in seinem Vortrag (PDF) einfach und nachvollziehbar: Demnach sei HTTP/2, das üblicherweise die HTTPS-Verschlüsselung nutzt, besser als Transport für DNS-Anfragen und -Antworten geeignet als DNS selbst. Die ersten Arbeiten an dem ursprünglichen DNS stammen von Anfang der 80er Jahre.

Vorteile von HTTP/2 für DNS

Dem neuen Vorschlag zufolge sollen explizit nicht die "alten" Protokolle über einen HTTP-Tunnel genutzt werden, sondern die DNS-Informationen sollen über ein standardisiertes Format per HTTP/2 übertragen werden. Laut dem Mozilla-Angestellten und Co-Autoren des Entwurfs, Patrick McManus, folgen daraus die HTTP2-Vorteile wie Multiplexing und die gute Verschlüsselung direkt für DNS-Informationen.

Die Weiterverwendung von HTTP2 als Transport für andere Standards, in diesem Fall DNS, beschreibt Hoffman wie folgt: "Mit Port 443 lässt sich einfach mehr machen als Bilder übertragen". Er führt in der Diskussion außerdem aus, dass die Informationen als sogenannter Content-Type übertragen werden können und die Idee damit perfekt in das bestehende HTTP-Konzept passe.

Explizit vom dem Standard ausgeschlossen werden sollen zunächst bestimmte Probleme wie das Auffinden von DNS-Servern, die die Information in dem neuen Szenario bereitstellen oder das damit verbundene Verhalten von Clients und Client-Systemen in öffentlich zugänglichen Netzen wie etwa in einem Café. Der Ausschluss wird damit begründet, das auch das "normale" DNS vor eben diesen Problemen steht.

Prominente Unterstützung bekommt die Arbeit an der Spezifikation unter anderem von Mark Nottingham, der an der Quic-Standardisierung mitwirkt und Co-Vorsitzender der HTTP-Arbeitsgruppe in der IETF ist, sowie von Daniel Kahn Gillmor, der für die US-Bürgerrechtsorganisation ACLU in der IETF mitwirkt, um sich für eine bessere Sicherheit und Privatsphäre der Internet-Nutzer einzusetzen.



Anzeige
Hardware-Angebote
  1. 120,84€ + Versand
  2. ab 349€

ikhaya 21. Jul 2017

draft-ietf-tls-dnssec-chain-extension soll da helfen, da sendet dann der DNS Server...

ikhaya 21. Jul 2017

Auch hättest du bei TOR immer noch das Problem dass der Exitnode seine Infos irgendwoher...

delphi 19. Jul 2017

Danke für den Hinweis. Die Implementierung, die ich benutze ("stubby", Teil von...

ChainsLunatic 18. Jul 2017

Danke!

Crass Spektakel 18. Jul 2017

In Deutschland wurde überhaupt erst Anfang der 1990er DNS flächendeckend eingeführt und...


Folgen Sie uns
       


Golem.de lässt Alexa schlecht lachen und rappen

Alexa kann komisch lachen und schlecht rappen - wie man im Video hört.

Golem.de lässt Alexa schlecht lachen und rappen Video aufrufen
Klimaschutz: Unter der Erde ist das Kohlendioxid gut aufgehoben
Klimaschutz
Unter der Erde ist das Kohlendioxid gut aufgehoben

Die Kohlendioxid-Emissionen steigen und steigen. Die auf der UN-Klimakonferenz in Paris vereinbarten Ziele sind so kaum zu schaffen. Fachleute fordern daher den Einsatz von Techniken, die Kohlendioxid in Kraftwerken abscheiden oder sogar aus der Luft filtern.
Ein Bericht von Daniel Hautmann

  1. Xiaoice und Zo Microsoft erforscht menschlicher wirkende Sprachchat-KIs
  2. Hyperschallgeschwindigkeit Projektil schießt sich durch den Boden
  3. Materialforschung Stanen - ein neues Wundermaterial?

NUC8i7HVK (Hades Canyon) im Test: Intels Monster-Mini mit Radeon-Grafikeinheit
NUC8i7HVK (Hades Canyon) im Test
Intels Monster-Mini mit Radeon-Grafikeinheit

Unter dem leuchtenden Schädel steckt der bisher schnellste NUC: Der buchgroße Hades Canyon kombiniert einen Intel-Quadcore mit AMDs Vega-GPU und strotzt förmlich vor Anschlüssen. Obendrein ist er recht leise und eignet sich für VR - selten hat uns ein System so gut gefallen.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Crimson Canyon Intel plant weiteren Mini-PC mit Radeon-Grafik
  2. NUC7CJYS und NUC7PJYH Intel bringt Atom-betriebene Mini-PCs
  3. NUC8 Intels Mini-PC hat mächtig viel Leistung

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /