DNS over TLS

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

DNS over TLS (DoT) ist ein Protokoll, mit dem DNS-Abfragen, d. h. vor allem Abfragen zur Auflösung von Hostnamen in IP-Adressen und umgekehrt, über das Transport-Layer-Security-Protokoll verschlüsselt übertragen werden. Es handelt sich um einen von der Internet Engineering Task Force vorgeschlagenen Standard.[1]

Protokoll[Bearbeiten | Quelltext bearbeiten]

Bei DNS over TLS werden DNS-Anfragen und Antworten über eine mit TLS gesicherte Verbindung übertragen, die zwischen dem Client wie bspw. dem Webbrowser und dem Server des DNS-Anbieters aufgebaut wird. TLS (Transport Layer Security, weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer SSL) ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Der für DNS over TLS zum Verbindungsaufbau von der IETF standardisierte Port ist 853.[2]

Sicherheit[Bearbeiten | Quelltext bearbeiten]

Die DNS-Abfrage ist in diesem Fall über das Verschlüsselungsprotokoll Transport Layer Security (TLS) gesichert und – im Gegensatz zum ungesicherten DNS – gegen Ausspähung und Manipulation durch einen Man-in-the-Middle-Angriff geschützt. Dadurch soll sowohl die Privatsphäre der Anwender vor Lauschern geschützt als auch die Einschleusung manipulierter DNS-Informationen verhindert werden. Zudem sollen damit Denial-of-Service-Attacken erschwert werden.[3]

Implementierungen[Bearbeiten | Quelltext bearbeiten]

Auf Client-Seite wird DNS over TLS von Android ab Android P ohne Zusatzprogramme vom Betriebssystem direkt unterstützt.[4] Auf Server-Seite wird es von verschiedenen Programmen unterstützt. So wird es in DNSDist von PowerDNS in der aktuellen Version 1.3.0. unterstützt.[5] Bei BIND ist es in Kombination mit dem Tool stunnel möglich, DNS over TLS zu verwenden.[6] Technitium DNS Servers hat bekannt gegeben, dass sie DNS over TLS seit Version 1.3 unterstützen.[7]

Öffentliche Server[Bearbeiten | Quelltext bearbeiten]

DNS over TLS wird mittlerweile über eine Reihe öffentlich verfügbarer, freier DNS-Provider angeboten[8]. Vier der Anbieter bieten diesen bereits zur Nutzung in Produktivsystemen an.

Provider IPs Hostname Inhaltsblockierung Eigenschaften
Cloudflare 1.1.1.1
1.0.0.1
2606:4700:4700::1111
2606:4700:4700::1001
1dot1dot1dot1.cloudflare-dns.com[9] nein Port 853[10], DNSSEC-Validierung
Quad9 9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::9
dns.quad9.net[11] Schädliche Domains Port 853[12], DNSSEC-Validierung
CleanBrowsing 185.228.168.168
185.228.168.169
2a0d:2a00:1::
2a0d:2a00:2::
adult-filter-dns.cleanbrowsing.org

family-filter-dns.cleanbrowsing.org

security-filter-dns.cleanbrowsing.org

Wählbar:[13]
  • Security-Filter (Malware, Phishing, ...)
  • Adult-Filter (Blockt explizite Inhalte, aber keinen Mixed-Content wie z.b. Reddit)
  • Family-Filter (Blockt zusätzlich zu Security- und Adult-Filter auch Mixed-Content wie Reddit und auch VPN und Proxy)
Port 853[14], DNSSEC-Validierung
Google[15] 8.8.8.8

8.8.4.4

2001:4860:4860::8888

2001:4860:4860::8844

dns.google[16] nein Port 853, DNSSEC-Validierung


Unterschiede zu anderen Protokollen[Bearbeiten | Quelltext bearbeiten]

Standardmäßig werden DNS-Anfragen und Antworten unverschlüsselt mit dem UDP-Protokoll übertragen. Für die Implementierung einer Verschlüsselung gibt es aktuell vor allem drei Optionen, nämlich DNS over TLS, DNS over HTTPS (DoH) und DNSCrypt. Bei DNS over TLS werden normale DNS-Anfragen über einen TLS-Tunnel geschickt, während bei DNS over HTTPS eine HTTPS-Verbindung aufbaut wird, über die die Kommunikation erfolgt. Dies führt dazu, dass – falls der DNS-Provider auf Port 443 zusätzlich eine Website anbietet – für einen Lauscher im Gegensatz zu DNS over TLS auch nicht ersichtlich ist, ob DNS-Anfragen gestellt oder Webinhalte abgerufen werden. Dafür ist DNS over TLS deutlich schneller. Drittens gibt es noch DNSCrypt, bei dem Anfragen und Antworten verschlüsselt direkt per UDP oder TCP übertragen werden.[17][18]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Weblinks[Bearbeiten | Quelltext bearbeiten]

Literatur[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. RFC 7858: Specification for DNS over Transport Layer Security (TLS) Variante heise.de
  2. Wessels, Duane, Heidemann, John, Zhu, Liang, Mankin, Allison, Hoffman, Paul: Specification for DNS over Transport Layer Security (TLS). Abgerufen am 5. August 2018 (englisch).
  3. DNS mit Privacy und Security vor dem Durchbruch heise.de
  4. Erik Kline, Ben Schwartz: DNS over TLS support in Android P Developer Preview. In: Android Developers Blog. 13. April 2018 (googleblog.com [abgerufen am 30. Juli 2018]).
  5. DNS-over-TLS. Abgerufen am 31. Juli 2018 (englisch).
  6. Bind - DNS over TLS.
  7. Configuring DNS Server For Privacy & Security (en)
  8. Troubleshooting DNS over TLS.
  9. Enable Private DNS with 1.1.1.1 on Android 9 Pie. 16. August 2018, abgerufen am 10. Januar 2019 (englisch).
  10. CloudFlare - DNS over TLS.
  11. Private DNS using Quad9 on Android 9 • Quad 9. In: Quad 9. 18. September 2018, abgerufen am 10. Januar 2019 (amerikanisches Englisch).
  12. Quad9 - DNS over TLS.
  13. NOC org / dcid: Parental Control with DNS over TLS Support. Abgerufen am 10. Januar 2019 (englisch).
  14. CleanBrowsing - DNS over TLS.
  15. Google Public DNS now supports DNS-over-TLS. In: Google Online Security Blog. Abgerufen am 10. Januar 2019 (englisch).
  16. DNS-over-TLS | Public DNS. Abgerufen am 10. Januar 2019 (englisch).
  17. Tenta DNS over TLS vs DNSCrypt. In: Tenta Browser Blog. (tenta.com [abgerufen am 5. August 2018]).
  18. Home page of the DNSCrypt project [DNS security]. Abgerufen am 5. August 2018 (englisch).