• IT-Karriere:
  • Services:

Verschlüsseltes DNS: IETF uneins über Wege zum Finden von DoH-Servern

Das Auffinden von verschlüsselten DNS-Servern für DoH oder DoT ist derzeit noch nicht standardisiert. Die IETF ringt nun um Lösungen.

Artikel veröffentlicht am ,
Die Arbeit zum Ausrollen von DoH bei der IETF wird noch einige Zeit in Anspruch nehmen.
Die Arbeit zum Ausrollen von DoH bei der IETF wird noch einige Zeit in Anspruch nehmen. (Bild: Pixabay)

Eine Arbeitsgruppe der Internet Engineering Task Force (IETF) hat auf ihrem jüngsten virtuellen Treffen verschiedene Möglichkeiten zum Umgang mit DNS-Resolvern diskutiert, die über verschlüsselte Protokolle erreichbar sind. Denn aus der Nutzung und Verfügbarkeit von DNS über HTTPS (DoH) oder auch DNS über TLS (DoT) ergeben sich ganz praktische Probleme im Vergleich zum bisherigen klassischen DNS. Diese Probleme will die IETF nun koordiniert angehen und lösen, noch herrscht allerdings keine Einigkeit über das weitere Vorgehen.

Stellenmarkt
  1. dtms GmbH, Mainz
  2. Sensory-Minds GmbH, Offenbach am Main

Bei dem klassischen DNS, das unverschlüsselt über Port 53 abgewickelt wird, bekommen Endgeräte per DHCP eine IP-Adresse eines DNS-Resolvers zugewiesen, der dann zentral vom gesamten Betriebssystem genutzt wird. Für Protokolle wie eben DoH ist solch ein Vorgang jedoch noch nicht standardisiert. Hinzu kommt, dass bei DoH nun auch Anwendungen einfach und standardisiert andere DNS-Resolver nutzen können, als den im System festgelegten klassischen Resolver. Möglich ist dies etwa mit Browsern.

Die aktuelle Situation führt jedoch dazu, das Hersteller bisher verschiedene Wege gehen, um dennoch DoH-Resolver zuweisen zu können. Mozilla nutzt im Firefox für die USA etwa einen standardmäßig voreingestellten DoH-Server. Google versucht hingegen in Chrome ein Upgrade eines bestehenden DNS-Resolvers auf DoH-Servern, und pflegt dazu eine entsprechende Liste. Ähnlich will auch Microsoft für Windows vorgehen. Hinzu kommt, dass dieses Nebeneinander von Techniken in einem sogenannten Split-DNS-Szenario zu praktischen Problemen führen kann, die bisher nur manuell gelöst werden können.

Unterschiedliche Vorschläge

Mit einem Standard könnte die Zuweisung und Nutzung jedoch vereinheitlicht werden und die DNS-Zuweisung ließe sich dann wohl auch vergleichsweise problemlos automatisieren. In der Arbeitsgruppe wurden eben dazu nun verschiedene Ideen diskutiert. Ein Vorschlag sieht etwa ein eigenes Protokoll zum Auffinden von entsprechenden Resolvern vor. Dazu könnte eine Liste mit diesen vorgehalten und abgefragt werden, ähnlich wie dies bereits jetzt mit dem klassischen DNS funktioniert.

Ein weiterer Vorschlag sieht vor, dafür direkt die DNS Records zu verwenden und dort die Resolver-Adressen zu hinterlegen. Dazu sollen sogenannte designierte DNS-Resolver genutzt werden, die sich nur für bestimmte Domains zuständig zeigen. Ein Team von Google und Cloudflare schlägt vor, dass einfach jede Webseite in einem HTTP-Header ihren präferierten Server festlegt, der dann von Clients genutzt werden sollte.

Von Firmen, die sogenannte Middleboxen als Sicherheitsprodukte anbieten und damit etwa Malware-Domains oder andere Adressen filtern, kommt ebenfalls ein eigener Vorschlag. Dieser basiert auf einem Standard (Enrollment over Secure Transport), um eigene Zertifikate oder CAs an Clients im Netzwerk auszurollen. Die Technik soll nun erweitert werden, um Clients im eigenen Netz verschlüsselte DNS-Server zuzuweisen.

Ausgang ungewiss

In der Diskussion der Beteiligten herrscht derzeit noch Uneinigkeit darüber, welche der Probleme der neuen DNS-Technik denn priorisiert behandelt werden sollten und welche Vorgehensweise dafür die richtige sein könnte. Die Arbeitsgruppe will zunächst Anforderungen formulieren und möglicherweise dafür verschiedene Standards etablieren.

Offensichtlich gelöst werden muss dabei etwa ein möglicher Upgrade-Pfad des bisherigen klassischen Resolvers auf dessen verschlüsseltes Pendant, so es denn verfügbar ist, ebenso wie eine direkte Zuweisung eines Resolvers im Netzwerk. Das würde auch zumindest einen Teil des Problems mit den Split-DNS und Middleboxen lösen. Wann es dazu kommt, ist derzeit aber noch nicht abzusehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. PS5 + HD Kamera für 549,99€)

phade 03. Aug 2020

Und wie zwingt man dann weiterhin die internen User z.B. in Firmennetzwerken interne...

/mecki78 03. Aug 2020

Das geht mit normalen DNS genauso. Jeder Prozess darf eine DNS Anfrage an eine beliebige...

ikhaya 03. Aug 2020

Wenn sie es drauf anlegen hast du jetzt schon Probleme und bei genug Unterstützung im OS...

Der Agent 31. Jul 2020

DNSoverTLS in lokalen Netzen is nicht rocket science... https://www.bentasker.co.uk...


Folgen Sie uns
       


Mercedes EQA Probe gefahren

Wir sind mit dem EQA von Mercedes-Benz für ein paar Stunden unterwegs gewesen.

Mercedes EQA Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /