Verschlüsseltes DNS: IETF uneins über Wege zum Finden von DoH-Servern

Das Auffinden von verschlüsselten DNS-Servern für DoH oder DoT ist derzeit noch nicht standardisiert. Die IETF ringt nun um Lösungen.

Artikel veröffentlicht am ,
Die Arbeit zum Ausrollen von DoH bei der IETF wird noch einige Zeit in Anspruch nehmen.
Die Arbeit zum Ausrollen von DoH bei der IETF wird noch einige Zeit in Anspruch nehmen. (Bild: Pixabay)

Eine Arbeitsgruppe der Internet Engineering Task Force (IETF) hat auf ihrem jüngsten virtuellen Treffen verschiedene Möglichkeiten zum Umgang mit DNS-Resolvern diskutiert, die über verschlüsselte Protokolle erreichbar sind. Denn aus der Nutzung und Verfügbarkeit von DNS über HTTPS (DoH) oder auch DNS über TLS (DoT) ergeben sich ganz praktische Probleme im Vergleich zum bisherigen klassischen DNS. Diese Probleme will die IETF nun koordiniert angehen und lösen, noch herrscht allerdings keine Einigkeit über das weitere Vorgehen.

Stellenmarkt
  1. Senior IT Systemadministrator (m/w/d)
    ASYS Automatisierungssysteme GmbH, Dornstadt
  2. Ingenieur als Teamleiter für Automatisierung und Digitalisierung (m/w/d)
    Qiagen, Hilden
Detailsuche

Bei dem klassischen DNS, das unverschlüsselt über Port 53 abgewickelt wird, bekommen Endgeräte per DHCP eine IP-Adresse eines DNS-Resolvers zugewiesen, der dann zentral vom gesamten Betriebssystem genutzt wird. Für Protokolle wie eben DoH ist solch ein Vorgang jedoch noch nicht standardisiert. Hinzu kommt, dass bei DoH nun auch Anwendungen einfach und standardisiert andere DNS-Resolver nutzen können, als den im System festgelegten klassischen Resolver. Möglich ist dies etwa mit Browsern.

Die aktuelle Situation führt jedoch dazu, das Hersteller bisher verschiedene Wege gehen, um dennoch DoH-Resolver zuweisen zu können. Mozilla nutzt im Firefox für die USA etwa einen standardmäßig voreingestellten DoH-Server. Google versucht hingegen in Chrome ein Upgrade eines bestehenden DNS-Resolvers auf DoH-Servern, und pflegt dazu eine entsprechende Liste. Ähnlich will auch Microsoft für Windows vorgehen. Hinzu kommt, dass dieses Nebeneinander von Techniken in einem sogenannten Split-DNS-Szenario zu praktischen Problemen führen kann, die bisher nur manuell gelöst werden können.

Unterschiedliche Vorschläge

Mit einem Standard könnte die Zuweisung und Nutzung jedoch vereinheitlicht werden und die DNS-Zuweisung ließe sich dann wohl auch vergleichsweise problemlos automatisieren. In der Arbeitsgruppe wurden eben dazu nun verschiedene Ideen diskutiert. Ein Vorschlag sieht etwa ein eigenes Protokoll zum Auffinden von entsprechenden Resolvern vor. Dazu könnte eine Liste mit diesen vorgehalten und abgefragt werden, ähnlich wie dies bereits jetzt mit dem klassischen DNS funktioniert.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. SAMBA Datei- und Domänendienste einrichten: virtueller Drei-Tage-Workshop
    7.–9. März 2022, Virtuell
Weitere IT-Trainings

Ein weiterer Vorschlag sieht vor, dafür direkt die DNS Records zu verwenden und dort die Resolver-Adressen zu hinterlegen. Dazu sollen sogenannte designierte DNS-Resolver genutzt werden, die sich nur für bestimmte Domains zuständig zeigen. Ein Team von Google und Cloudflare schlägt vor, dass einfach jede Webseite in einem HTTP-Header ihren präferierten Server festlegt, der dann von Clients genutzt werden sollte.

Von Firmen, die sogenannte Middleboxen als Sicherheitsprodukte anbieten und damit etwa Malware-Domains oder andere Adressen filtern, kommt ebenfalls ein eigener Vorschlag. Dieser basiert auf einem Standard (Enrollment over Secure Transport), um eigene Zertifikate oder CAs an Clients im Netzwerk auszurollen. Die Technik soll nun erweitert werden, um Clients im eigenen Netz verschlüsselte DNS-Server zuzuweisen.

Ausgang ungewiss

In der Diskussion der Beteiligten herrscht derzeit noch Uneinigkeit darüber, welche der Probleme der neuen DNS-Technik denn priorisiert behandelt werden sollten und welche Vorgehensweise dafür die richtige sein könnte. Die Arbeitsgruppe will zunächst Anforderungen formulieren und möglicherweise dafür verschiedene Standards etablieren.

Offensichtlich gelöst werden muss dabei etwa ein möglicher Upgrade-Pfad des bisherigen klassischen Resolvers auf dessen verschlüsseltes Pendant, so es denn verfügbar ist, ebenso wie eine direkte Zuweisung eines Resolvers im Netzwerk. Das würde auch zumindest einen Teil des Problems mit den Split-DNS und Middleboxen lösen. Wann es dazu kommt, ist derzeit aber noch nicht abzusehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


phade 03. Aug 2020

Und wie zwingt man dann weiterhin die internen User z.B. in Firmennetzwerken interne...

/mecki78 03. Aug 2020

Das geht mit normalen DNS genauso. Jeder Prozess darf eine DNS Anfrage an eine beliebige...

ikhaya 03. Aug 2020

Wenn sie es drauf anlegen hast du jetzt schon Probleme und bei genug Unterstützung im OS...

Der Agent 31. Jul 2020

DNSoverTLS in lokalen Netzen is nicht rocket science... https://www.bentasker.co.uk...



Aktuell auf der Startseite von Golem.de
Microsoft
Windows 11 verlangsamt SSDs wohl teils merklich

Viele Teile der Community messen schlechtere Werte im Vergleich zu Windows 10, wenn sie Windows 11 auf ihren SSDs verwenden.

Microsoft: Windows 11 verlangsamt SSDs wohl teils merklich
Artikel
  1. CoreELEC/LibreELEC: Smart-TV mal anders
    CoreELEC/LibreELEC
    Smart-TV mal anders

    Eine TV-Box Marke Eigenbau bringt Spaß und Gewissheit über unsere Daten. Die Linux-Distributionen CoreELEC und LibreELEC eignen sich da besonders.
    Eine Anleitung von Sebastian Hammer

  2. Weltraumteleskop: Hubble ist wieder im Einsatz
    Weltraumteleskop
    Hubble ist wieder im Einsatz

    Mit einer neuen Software sollen die Instrumente des Weltraumteleskops künftig auch trotz bestimmter Fehler weiter arbeiten.

  3. Ubisoft Blue Byte: Anno 1800 muss in die Verlängerung
    Ubisoft Blue Byte
    Anno 1800 muss in die Verlängerung

    Vorerst gibt es kein neues Anno und auch kein Die Siedler: Ubisoft Blue Byte kündigt für 2022 eine vierte Season für Anno 1800 an.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer-Monitore zu Bestpreisen (u. a. 27" FHD 165Hz OC 199€) • Kingston PCIe-SSD 1TB 69,90€ & 2TB 174,90€ • Samsung Smartphones & Watches günstiger • Saturn: Xiaomi Redmi Note 9 Pro 128GB 199€ • Alternate (u. a. Razer Opus Headset 69,99€) • Release: Halo Infinite 68,99€ [Werbung]
    •  /