IETF: DNS wird sicher, aber erst später

Künftig soll DNS so weit wie möglich verschlüsselt erfolgen, wofür neue Transportwege genutzt werden sollen. Das kommt allerdings eher schleppend voran, wie sich beim Treffen der IETF zeigt.

Artikel veröffentlicht am ,
DNS wird zum übersetzen von Domains in IP-Adressen genutzt.
DNS wird zum übersetzen von Domains in IP-Adressen genutzt. (Bild: Martin Wolf/Golem.de)

Die Arbeiten am Domain-Name-System (DNS) sind fast so alt wie das Internet selbst, und DNS hat aus heutiger Sicht vor allem einen großen Nachteil: Es wird standardmäßig unverschlüsselt übertragen. Um das zu ändern, gibt es bei der IETF die Arbeitsgruppe DNS Private Exchange (Dprive) und auch völlig neue Ideen, wie etwa, DNS-Informationen nativ über das verschlüsselte HTTP/2 zu übertragen. Mit ihrem bisher größten Erfolg haben die Beteiligten von Dprive aber noch Probleme.

Zwar hat es das Team vor rund einem Jahr geschafft, einen Internet-Standard zu veröffentlichen, der die Verwendung von DNS über das verschlüsselte TLS-Protokoll beschreibt. Bei der Diskussion der Dprive-Arbeitsgruppe auf dem IETF Meeting 99, das derzeit in Prag stattfindet, zeigt sich aber, dass DNS über TLS kaum verwendet wird.

Die Gruppe muss zudem schlicht feststellen, dass für eine Evaluierung auch noch zu wenig aussagekräftige Daten vorliegen. Ob die Arbeit an dem Standard also tatsächlich erfolgreich war, muss sich noch zeigen. Außerdem weist Daniel Kahn Gillmor, der sich für die US-Bürgerrechtsorganisation ACLU in den Standardisierungsgremien und Arbeitsgruppen der IETF engagiert, darauf hin, dass Angreifer auf die Netzwerkverbindung den Port für DNS über TLS auch einfach blockieren können.

Mehr verschlüsseltes DNS

Der Vorteil von DNS über TLS gehe damit schlicht verloren. Um zu verdeutlichen, warum es deshalb weitere Arbeiten von Dprive an alternativen Methoden geben sollte, stellt Gillmor einen "üblen Hack" vor, mit dem DNS per Muxing auch über HTTPS auf Grundlage des alten HTTP/1 übertragen werden kann. Der Vorschlag sei sogar so einfach, dass Gillmor ihn selbst umgesetzt hat und die Technik als Paket für die Linux-Distribution Debian bereitstellt.

Gillmor betont aber auch selbst, dass seine Idee so schlecht sei, dass diese nur zur Demonstration dienen sollte und er seinen Vorschlag nicht zur Standardisierung einreichen wird. Deshalb solle an weiteren sicheren Übertragungswegen für DNS gearbeitet werden.

Zur Verfügung stehen dafür der erwähnte Vorschlag für DNS über HTTP/2 sowie DNS über das kommenden Quic, das ebenfalls standardmäßig eine verschlüsselte Verbindung liefert. Der erste Vorschlag wird, wenn er überhaupt umgesetzt wird, aber noch einige Zeit bis zur Standardisierung benötigen. Der zweite hängt von der Standardisierung von Quic selbst ab. Diese läuft zwar offiziell bereits seit einem Jahr, ist aber noch lange nicht abgeschlossen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
VW ID.Buzz XL
Längerer Elektrobus mit mehr PS und Reichweite

Der ID.Buzz von VW kommt in einer XL-Version auf den Markt. Viele Neuerungen werden vom ID.7 übernommen.

VW ID.Buzz XL: Längerer Elektrobus mit mehr PS und Reichweite
Artikel
  1. Chipfabrik Magdeburg: Regierung streitet über Milliardenförderung für Intel
    Chipfabrik Magdeburg
    Regierung streitet über Milliardenförderung für Intel

    Angeblich verlangt Intel inzwischen eine staatliche Förderung von 10 Milliarden Euro. Doch Finanzminister Lindner soll noch blockieren.

  2. Microsoft Azure Cognitive Services: Kognitive Dienste in der Cloud ohne KI-Kenntnisse nutzen
    Microsoft Azure Cognitive Services
    Kognitive Dienste in der Cloud ohne KI-Kenntnisse nutzen

    Für maschinelles Sehen, Hören, Sprechen und Verstehen gibt es viele Einsatzmöglichkeiten. Wir erklären die Dienste von Microsoft und schauen dabei auch auf die Datensicherheit.
    Ein Deep Dive von Michael Bröde

  3. Arturia Microfreak 5.0: Mehr Synthesizer fürs Geld geht kaum
    Arturia Microfreak 5.0
    Mehr Synthesizer fürs Geld geht kaum

    Eines der besten Hardware-Musikinstrumente wird dank Firmware-Update noch besser. Das sind die größten Neuerungen beim Arturia Microfreak.
    Ein Hands-on von Daniel Ziegener

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Corsair Vengeance LPX DDR4-3600 16 GB 39,90€ und RGB PRO 49,90€ • Roccat Magma 33€ • MindStar: be quiet! Pure Base 500 FX 99,90€, ADATA LEGEND 710 2 TB 79€ • Alan Wake Remastered PS4 12,99€ • KFA2 RTX 3060 Ti 329,99€ • Kingston Fury SSD 2 TB (PS5) 129,91€ • Sony Deals Week [Werbung]
    •  /