DNS over HTTPS

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

DNS over HTTPS (DoH) ist ein experimentelles Protokoll zur Durchführung einer DNS-Auflösung über das HTTPS-Protokoll. Das Ziel ist es, die Privatsphäre und Sicherheit der Benutzer zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird.[1] Neben der Verbesserung der Sicherheit sind weitere Ziele von DNS über HTTPS, die Leistung zu verbessern und DNS-basierte Zensurmaßnahmen zu verhindern. DNS over HTTPS ist momentan als Entwurf bei der IETF einsehbar.[2]

Seit März 2018 testen Google und Mozilla Versionen von DNS über HTTPS.[3][4]

Öffentliche DNS-Server[Bearbeiten | Quelltext bearbeiten]

DoH-Server-Implementierungen werden bereits durch mehrere öffentliche DNS-Provider angeboten.[5] Drei der Anbieter bieten diese bereits für Produktivsysteme an:[6]

Provider IPs Protokoll Inhaltsblockierung Eigenschaften
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
IETF-Entwurf Nein DoH endpoint[7]
Google Public DNS 8.8.8.8
8.8.4.4
2001:4860:4860::8888
2001:4860:4860::8844
Google experimentell Nein DoH endpoint[8]
CleanBrowsing 185.228.168.168
185.228.168.169
2a0d:2a00:1::
2a0d:2a00:2::
N/A Inhalte für Erwachsene DoH endpoint[9]

Unterschiede zu anderen Protokollen[Bearbeiten | Quelltext bearbeiten]

Standardmäßig werden DNS-Abfragen unverschlüsselt mit dem UDP-Protokoll übertragen. Für die Implementierung einer Verschlüsselung gibt es aktuell drei Optionen DNS over HTTPS, DNS over TLS (DoT) und DNSCrypt. DNS over TLS schickt normale DNS-Anfragen über einen TLS-Tunnel, während DNS over HTTPS eine HTTPS-Verbindung aufbaut, um die Nachrichten zu übertragen. Dies führt dazu, dass – falls der DNS-Provider auf Port 443 auch eine Website anbietet – man nicht sehen kann, ob das Paket eine DNS-Anfrage ist. Dafür ist DNS over TLS deutlich schneller. Drittens gibt es noch DNSCrypt, das die einzelnen Pakete einzeln verschlüsselt und im Bereich des normalen DNS arbeitet.[10][11]

Implementierungen[Bearbeiten | Quelltext bearbeiten]

Der Browser Mozilla Firefox enthält seit Version 60 die Option, DoH als experimentelle Funktion zu aktivieren.[12][13] Mozilla stellt in Zusammenarbeit mit Cloudflare einen DoH-Server bereit, der strenge Privatsphäre-Anforderungen erfüllen muss.[14]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Richard Chirgwin: IETF protects privacy and helps net neutrality with DNS over HTTPS. The Register, 14. Dezember 2017, abgerufen am 26. Juli 2018.
  2. IETF draft - DNS over HTTPS. Abgerufen am 25. Juli 2018.
  3. DNS-over-HTTPS. Google Developers, abgerufen am 26. Juli 2018.
  4. Catalin Cimpanu: Mozilla Is Testing "DNS over HTTPS" Support in Firefox. BleepingComputer, 20. März 2018, abgerufen am 26. Juli 2018.
  5. DNS over HTTPS Implementations. 27. April 2018, abgerufen am 27. April 2018.
  6. DNS Security and Privacy. 27. April 2018, abgerufen am 27. März 2018.
  7. Running a DNS over HTTPS - Cloudflare Resolver
  8. Google Public DNS
  9. https://doh.cleanbrowsing.org/doh/family-filter/
  10. Tenta DNS over TLS vs DNSCrypt. In: Tenta Browser Blog. (tenta.com [abgerufen am 5. August 2018]).
  11. Home page of the DNSCrypt project [DNS security]. Abgerufen am 5. August 2018 (englisch).
  12. Jürgen Schmidt, Carsten Strotmann: Private Auskunft – DNS mit Privacy und Security vor dem Durchbruch. In: Heise online. 22. Juni 2018. Abgerufen am 25. Juli 2018.
  13. Improving DNS Privacy in Firefox. 1. Juni 2018, abgerufen am 26. Juli 2018.
  14. Cloudflare Resolver for Firefox. Abgerufen am 25. Juli 2018.