Ein großteil des Internetverkehrs läuft mittlerweile verschlüsselt ab. Das ist nicht nur ein Vorteil für die Privatsphäre, sondern auch für die Sicherheit. Denn verschlüsselter Internetverkehr kann sehr viel schwerer manipuliert werden als unverschlüsselter.
Eine Ausnahme ist hier leider immer noch das DNS-System.
Was ist DNS, bzw. das Domain Name System?
DNS ist eines der wichtigsten Systeme im Internet, denn es dient der sogenannten Namensauflösung von Internetadressen.
Jeder kennt Domainnamen und hat die wichtigsten davon im Kopf. Google.com, tagesschau.de, web.de und so weiter.
Ein Webserver hat jedoch eine (oder mehrere) IP-Adressen. Beispielsweise 216.58.207.46 (IPv4) oder 2a00:1450:4002:806::200e (IPv6). Der eigene Computer und der Webserver kommunizieren immer über die IP-Adresse.
Das DNS-System ist dafür verantwortlich, dass einer Domain eine IP-Adresse zugeordnet wird. Es ist so etwas wie eine Telefonauskunft für Domainnamen und IP-Adressen.
Wenn man beispielsweise google.com im Browser eingibt, dann fragt der Computer den hinterlegten DNS-Server welche IP-Adresse für google.com hinterlegt ist.
Das System ist dabei hierarchisch aufgebaut. Der zuständige DNS-Server für den eigenen Computer ist meistens der Router. Beispielsweise eine FritzBox. Wenn diese die IP-Adresse nicht kennt, dann fragt sie den DNS-Server des Providers. Wenn auch dieser die IP-Adresse nicht kennt, dann fragt er den nächst höheren DNS-Server.
Das Problem an der Sache: DNS-Anfragen laufen bis heute fast ausschließlich unverschlüsselt. Das ist nicht nur ein Problem für die Privatsphäre, sondern auch für die Sicherheit.
Was ist der Vorteil von verschlüsselten DNS-Anfragen?
Unverschlüsseltes DNS ist vor allem aus zwei Gründen Problematisch.
- Privatsphäre
- Sicherheit
Jeder der Zugriff auf das Netzwerk hat, kann unverschlüsselte DNS-Anfragen protokollieren und auswerten und weiß damit, welche Person welche Webseiten aufruft.
Das können staatliche Stellen sein, aber beispielsweise auch der Internetbetreiber oder Betreiber eines Hotel-WLAN.
Auch für die Sicherheit ist unverschlüsseltes DNS ein Problem, da diese Anfragen leicht manipuliert werden können. So wäre es beispielsweise möglich, dass man anstatt auf die Seite der eigenen Bank auf eine Phishing-Webseite geleitet wird, ohne es zu merken. Diese Technik nennt sich DNS-Hijacking.
Aber auch Zensurmaßnahmen oder das Blockieren von Webseiten laufen über das DNS-System
Zwei Optionen um DNS-Anfragen zu verschlüsseln
Um die genannten Probleme zu beseitigen wird mehr und mehr auf verschlüsselte DNS-Anfragen gesetzt. Hierzu gibt es zwei konkurrierende Standards.
- DoH (DNS-over-HTTPS)
- DoT (DnS-over-TLS)
Die Vor- und Nachteile von DoH (DNS-over-HTTPS)
Bei DoH werden DNS-Anfragen über HTTPS verschlüsselt, wie beim Aufruf einer Webseite. Hierzu baut, beispielsweise der Webbrowser direkt, eine verschlüsselte Verbindung zum DNS-Server über HTTPS auf.
Hierfür wird das TCP-Protokoll und Port 443 verwendet. Genau wie beim Aufruf einer Webseite. Dadurch ist der DNS-Traffic über DoH nicht vom Aufruf einer Webseite zu unterscheiden. Genau dies bringt jedoch sowohl Vor- als auch Nachteile mit sich.
Vorteile von DoH
- Schützt vor Manipulation der DNS-Auflösung.
- DoH-Traffic kann nicht von Webseiten-Traffic unterschieden werden. Das erschwert Zensur, sowie das Blocken von DoH mit Firewalls.
- Namensauflösung kann direkt von Anwendungen wie einem Webbrowser vorgenommen werden und funktioniert auch, wenn das Betriebssystem oder der Router DoH nicht unterstützen.
Nachteile von DoH
- Potentiell langsamer als DoT
- Gefahr der Zentralisierung, wenn z.B. der Chrome-Browser ausschließlich den Google-DNS-Server verwendet anstatt des bisherige dezentralen DNS-Systems.
- Probleme bei internen Namensauflösungen z.B. in Firmennetze, da der Browser die Namensauflösung am DNS-Server der Firma vorbei vornimmt. Damit dies trotzdem funktioniert ist Unterstützung durch die Software (Browser) nötig.
- Weniger Kontrolle der DNS-Auflösung durch Administratoren der Firma oder des Providers.
Die Vor- und Nachteile von DoT (DNS-over-TLS)
Als Alternative bringt sich DoT (DNS-over-TLS) in Stellung. Hierbei handelt es sich praktisch um das bisherige DNS-System. Allerdings werden Anfragen über eine gesicherte Verbindung übertragen und via TLS verschlüsselt.
Hierfür wird der eigens dafür standardisierte Port 853 verwendet. Im Gegensatz zu DoH ist bei DoT der Traffic klar als DNS-Traffic erkennbar. Auch das bietet wieder Vor- und Nachteile.
Vorteile von DoT
- Schützt vor Manipulation der DNS-Auflösung.
- Klassische DNS-Netzwerkstruktur wird beibehalten.
- Auflösung kann wie bisher über Firmen-DNS-Server erfolgen. Namensauflösung im Intranet wie bisher möglich.
Nachteile von DoT
- DoT-Traffic ist als solcher erkennbar, daher kann er leicht über Firewalls geblockt werden. Damit wird entweder eine unverschlüsselte Namensauflösung erzwungen, oder der Internetzugang ist faktisch unbrauchbar.
- Potentiell langsamer als unverschlüsseltes DNS
Wie sieht die Zukunft des DNS-Systems aus?
Das ist natürlich schwer zu sagen. Sicher ist nur, an der Verschlüsselung von DNS-Anfragen führt in Zukunft kein Weg mehr vorbei.
Besonders für totalitäre Staaten werden verschlüsselte DNS-Anfragen zum Problem, da Zensurmaßnahmen häufig über Manipulation der DNS-Anfragen erfolgen. Hier ist DoH im Vorteil, da diese DNS-Anfragen nicht so leicht zu blockieren sind. Außerdem wird das System von vielen Softwareherstellern (Browser) favorisiert, da es ihnen die Kontrolle über die Namensauflösung gibt.
DoT wird hingegen der Favorit der Internetprovider und Unternehmen, da sich die Art und Weise wie Netzwerke funktionieren hierdurch nicht grundlegend ändern.
Welches System wird sich durchsetzen? Ich denke, dass auch in Zukunft DoT und DoH parallel existieren werden, da beide Systeme ganz unterschiedliche Vor und Nachteile bieten.
Sehr guter und hilfreicher Artikel. Danke für deine Mühe.
Bitte um DoQ aktualisieren 🙂