DNS over HTTPS
DNS over HTTPS (DoH) ist ein Protokoll zur Durchführung einer DNS-Auflösung über das HTTPS-Protokoll. Das Ziel ist es, die Privatsphäre und Sicherheit der Benutzer zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird.[1] Neben der Verbesserung der Sicherheit sind weitere Ziele von DNS über HTTPS, die Leistung zu verbessern und DNS-basierte Zensurmaßnahmen zu verhindern. DNS over HTTPS wurde am 19. Oktober 2018 als RFC 8484 standardisiert.[2] DoH-Server werden von zahlreichen öffentlichen DNS-Providern angeboten.[3]
Seit März 2018 testen Google und Mozilla Versionen von DNS über HTTPS.[4][5]
Unterschiede zu anderen Protokollen
[Bearbeiten | Quelltext bearbeiten]Standardmäßig werden DNS-Abfragen unverschlüsselt mit dem User Datagram Protocol übertragen. Für die Implementierung einer Verschlüsselung gibt es aktuell drei Optionen: DNS over HTTPS, DNS over TLS (DoT) und DNSCrypt. DNS over TLS schickt normale DNS-Anfragen über einen TLS-Tunnel, während DNS over HTTPS dafür eine HTTPS-Verbindung aufbaut. Durch Letzteres kann man – falls der DNS-Provider auf Port 443 auch eine Website anbietet – nicht sehen, ob das Paket eine DNS-Anfrage ist. Dafür ist DNS over TLS deutlich schneller. Die dritte Variante, DNSCrypt, bietet ebenfalls Verschlüsselung und Authentifizierung der DNS-Abfragen, basiert aber auf einem eigenen Protokoll, welches bislang nicht als Request for Comments (RFC) zur Standardisierung bei der Internet Engineering Task Force (IETF) vorgeschlagen wurde.[6][7] Eine weitere Option ist in Zukunft das Protokoll DNS over QUIC (DoQ), das gerade standardisiert wird.[8][9]
Implementierungen
[Bearbeiten | Quelltext bearbeiten]Der Browser Mozilla Firefox enthält seit Version 60 die Option, DoH zu aktivieren.[10][11] Mozilla stellt in Zusammenarbeit mit Cloudflare einen DoH-Server bereit, der strenge Privatsphäre-Anforderungen erfüllen muss.[12]
Für Chrome gibt es seit Version 78 ebenfalls eine experimentelle Einstellung zur Nutzung von DoH.[13]
Unter Android gab es, anders als für DNS over TLS, bis Juli 2022 keine mitgelieferte Unterstützung für DNS over HTTPS auf Betriebssystemsebene. Diese wurde für Android ab Version 11 nachgereicht.[14]
Die Benutzung von DNS over HTTPS ist per Eingabe in die Standard-Netzwerk-Dialog-Eingabemaske des User-Interfaces der regulären Windows-11-Version möglich. Dabei ist ebenfalls Discovery of Designated Resolvers (DDR) benutzbar und über Konsole konfigurierbar. DDR ist dabei für die automatische Konfiguration von DoH verantwortlich – ähnlich dem DHCP-Standard.[15]
Seit MacOS Ventura und iOS 16 sind DoT sowie DoH mit dem DDR Encrypted Initial Kontakt standardmäßig benutzbar und ohne Konsoleneingriff in MacOS nutzbar.[16]
Siehe auch
[Bearbeiten | Quelltext bearbeiten]- Domain Name System Security Extensions (DNSSEC)
- DNS-based Authentication of Named Entities (DANE)
- DNSCurve
Weblinks
[Bearbeiten | Quelltext bearbeiten]- Monika Ermert: Experimentelles Internetprotokoll DNS over HTTPS. heise.de
- Monika Ermert: IETF: DNS über HTTPS wird zum Standard. heise.de, 25. Juli 2018 .
- Fidler et al.: DNS over HTTPS (DoH) Considerations for Operator Networks. ietf.org, 8. März 2019, abgerufen am 9. März 2019.
- Liste von DNS-over-HTTPS-Servern, -Werkzeugen und -Ressourcen auf GitHub
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ Richard Chirgwin: IETF protects privacy and helps net neutrality with DNS over HTTPS. The Register, 14. Dezember 2017, abgerufen am 26. Juli 2018.
- ↑ P. Hoffman, P. McManus: RFC – DNS Queries over HTTPS (DoH) [Errata: RFC 8484]. 19. Oktober 2018 (Internet Engineering Task Force [IETF], englisch).
- ↑ DNS over HTTPS Implementations. In: GitHub. 27. April 2018, abgerufen am 27. April 2018 (englisch, unofficial list of DoH servers, tools and other resources).
- ↑ DNS-over-HTTPS. Google Developers, abgerufen am 26. Juli 2018.
- ↑ Catalin Cimpanu: Mozilla Is Testing "DNS over HTTPS" Support in Firefox. BleepingComputer, 20. März 2018, abgerufen am 26. Juli 2018.
- ↑ Tenta DNS over TLS vs DNSCrypt. In: Tenta Browser Blog. Abgerufen am 5. August 2018.
- ↑ Home page of the DNSCrypt project [DNS security]. Abgerufen am 5. August 2018 (englisch).
- ↑ C. Huitema: Specification of DNS over Dedicated QUIC Connections. 7. März 2019, abgerufen am 22. Dezember 2019 (englisch).
- ↑ draft-huitema-quic-dnsoquic-07 - Specification of DNS over Dedicated QUIC Connections. Abgerufen am 22. Dezember 2019.
- ↑ Jürgen Schmidt, Carsten Strotmann: Private Auskunft – DNS mit Privacy und Security vor dem Durchbruch. In: Heise online. 22. Juni 2018. Abgerufen am 25. Juli 2018.
- ↑ Improving DNS Privacy in Firefox. 1. Juni 2018, abgerufen am 26. Juli 2018.
- ↑ Cloudflare Resolver for Firefox. Abgerufen am 25. Juli 2018.
- ↑ Stefan Beiersmann: Chrome 78: Google testet DNS-over-HTTPS. 23. Oktober 2019, abgerufen am 6. Dezember 2019 (deutsch).
- ↑ Matthew Maurer, Mike Yu: DNS-over-HTTP/3 in Android. 19. Juli 2022, abgerufen am 7. September 2022 (englisch).
- ↑ Announcing experimental DDR in 1.1.1.1. In: blog.cloudflare.com. Abgerufen am 9. Mai 2023 (englisch).
- ↑ Qiaoyu (Joey) Deng für Apple Develeopers: Improve DNS security for apps and servers. Abgerufen am 14. Mai 2023 (englisch).