Verschlüsseltes DNS: IETF uneins über Wege zum Finden von DoH-Servern
Eine Arbeitsgruppe der Internet Engineering Task Force (IETF) hat auf ihrem jüngsten virtuellen Treffen verschiedene Möglichkeiten zum Umgang mit DNS-Resolvern diskutiert(öffnet im neuen Fenster) , die über verschlüsselte Protokolle erreichbar sind. Denn aus der Nutzung und Verfügbarkeit von DNS über HTTPS (DoH) oder auch DNS über TLS (DoT) ergeben sich ganz praktische Probleme im Vergleich zum bisherigen klassischen DNS. Diese Probleme will die IETF nun koordiniert angehen und lösen, noch herrscht allerdings keine Einigkeit über das weitere Vorgehen.
Bei dem klassischen DNS, das unverschlüsselt über Port 53 abgewickelt wird, bekommen Endgeräte per DHCP eine IP-Adresse eines DNS-Resolvers zugewiesen, der dann zentral vom gesamten Betriebssystem genutzt wird. Für Protokolle wie eben DoH ist solch ein Vorgang jedoch noch nicht standardisiert. Hinzu kommt, dass bei DoH nun auch Anwendungen einfach und standardisiert andere DNS-Resolver nutzen können, als den im System festgelegten klassischen Resolver. Möglich ist dies etwa mit Browsern.
Die aktuelle Situation führt jedoch dazu, das Hersteller bisher verschiedene Wege gehen, um dennoch DoH-Resolver zuweisen zu können. Mozilla nutzt im Firefox für die USA etwa einen standardmäßig voreingestellten DoH-Server. Google versucht hingegen in Chrome ein Upgrade eines bestehenden DNS-Resolvers auf DoH-Servern, und pflegt dazu eine entsprechende Liste. Ähnlich will auch Microsoft für Windows vorgehen. Hinzu kommt, dass dieses Nebeneinander von Techniken in einem sogenannten Split-DNS-Szenario zu praktischen Problemen führen kann, die bisher nur manuell gelöst werden können.
Unterschiedliche Vorschläge
Mit einem Standard könnte die Zuweisung und Nutzung jedoch vereinheitlicht werden und die DNS-Zuweisung ließe sich dann wohl auch vergleichsweise problemlos automatisieren. In der Arbeitsgruppe wurden eben dazu nun verschiedene Ideen diskutiert. Ein Vorschlag sieht etwa ein eigenes Protokoll zum Auffinden von entsprechenden Resolvern vor(öffnet im neuen Fenster) . Dazu könnte eine Liste mit diesen vorgehalten und abgefragt werden, ähnlich wie dies bereits jetzt mit dem klassischen DNS funktioniert.
Ein weiterer Vorschlag sieht vor, dafür direkt die DNS Records zu verwenden(öffnet im neuen Fenster) und dort die Resolver-Adressen zu hinterlegen. Dazu sollen sogenannte designierte DNS-Resolver genutzt werden, die sich nur für bestimmte Domains zuständig zeigen. Ein Team von Google und Cloudflare schlägt vor(öffnet im neuen Fenster) , dass einfach jede Webseite in einem HTTP-Header ihren präferierten Server festlegt, der dann von Clients genutzt werden sollte.
Von Firmen, die sogenannte Middleboxen als Sicherheitsprodukte anbieten und damit etwa Malware-Domains oder andere Adressen filtern, kommt ebenfalls ein eigener Vorschlag(öffnet im neuen Fenster) . Dieser basiert auf einem Standard ( Enrollment over Secure Transport(öffnet im neuen Fenster) ), um eigene Zertifikate oder CAs an Clients im Netzwerk auszurollen. Die Technik soll nun erweitert werden, um Clients im eigenen Netz verschlüsselte DNS-Server zuzuweisen.
Ausgang ungewiss
In der Diskussion der Beteiligten herrscht derzeit noch Uneinigkeit darüber, welche der Probleme der neuen DNS-Technik denn priorisiert behandelt werden sollten und welche Vorgehensweise dafür die richtige sein könnte. Die Arbeitsgruppe will zunächst Anforderungen formulieren und möglicherweise dafür verschiedene Standards etablieren.
Offensichtlich gelöst werden muss dabei etwa ein möglicher Upgrade-Pfad des bisherigen klassischen Resolvers auf dessen verschlüsseltes Pendant, so es denn verfügbar ist, ebenso wie eine direkte Zuweisung eines Resolvers im Netzwerk. Das würde auch zumindest einen Teil des Problems mit den Split-DNS und Middleboxen lösen. Wann es dazu kommt, ist derzeit aber noch nicht abzusehen.
- Anzeige Hier geht es zu den aktuellen Blitzangeboten bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.