DNS-over-TLS: Verschlüsseltes DNS jetzt bei uns
DNS-over-TLS (DoT) ist eine neue Technologie, um DNS-Anfragen zu verschlüsseln. Dies soll den Nutzer vor Manipulation und Ausspähung der Namensauflösung durch Man-in-the-middle-Angriffe schützen. Mit der Standardisierung durch die Internet Engineering Task Force (IETF) und der Unterstützung in der kürzlich veröffentlichten neuen Android-Version „Pie“ entwächst diese zukunftsweisende Technologie gerade aus seinen Kinderschuhen. Als erster VPN-Anbieter freuen wir uns, unseren Nutzern ab sofort exklusiv DNS-over-TLS anbieten zu können.
Was ist DNS?
Computer, Smartphones und alle Geräte mit Netzwerkzugriff kommunizieren untereinander mittels IP-Adressen. Um beispielsweise unsere Webseite aufzurufen (Hostname: www.perfect-privacy.com), benötigt der Nutzer die zugehörige IP-Adresse. Für diese Namensauflösung wurde schon 1985 das Domain Name System (DNS) erfunden. Es ist somit einer der wichtigsten Dienste im Internet.
Und was ist DNS-over-TLS?
Vor über dreißig Jahren war die Sicherheit, Schutz vor Manipulation und Bespitzelung im Internet kein großes Thema. Das hat sich mittlerweile geändert: Die Verschlüsselung von Web-Traffic mit HTTPS ist seit vielen Jahren zum Standard geworden. Doch normale DNS-Anfragen sind nach wie vor standardmäßig unverschlüsselt.
Deshalb begrüßen wir es, dass es neuerdings einen von der IETF vorgeschlagenen Standard gibt, um DNS-Anfragen zu verschlüsseln: das DNS-over-TLS (DoT). Ähnlich, wie HTTPS die verschlüsselte Version vom HTTP ist, ist DoT die verschlüsselte Version vom DNS. Die herkömmlichen DNS-Anfragen werden dabei in eine verschlüsselte TLS-Verbindung verpackt (Transport Layer Security, weitläufiger bekannt als SSL / Secure Sockets Layer).
Warum DNS-over-TLS?
Die Verschlüsselung von DNS-Anfragen schützt einerseits vorm Mitlesen und Abhören der Namensauflösung und trägt damit zum Schutz der Privatsphäre des Nutzers bei. Zudem kann DNS-over-TLS vor Manipulation der DNS-Requests schützen. Die Veränderung von DNS-Anfragen ist gängige Praxis: Auch unsere TrackStop-Filter funktionieren auf DNS-Ebene. Wenn der Nutzer diese Filter einschaltet, werden z. B. Tracking-Dienste, Werbung und bekannte Phishing-Seiten blockiert, indem die DNS-Anfragen nicht beantwortet werden. Natürlich können unsere Nutzer die Filter jederzeit wieder deaktivieren und ein ungefiltertes Internet genießen.
Die Telekom beispielsweise meint es gut mit ihren Kunden: Falls sich ein Telekom-Kunde vertippt hat und ein Hostname nicht zu einer IP-Adresse aufgelöst werden konnte, liefert der DNS-Server der Telekom eine (falsche) IP-Adresse zurück, die den Nutzer zur „Navigationshilfe“ führt. Doch die DNS-Manipulation ist oft die erste Wahl für Zensur-Mechanismen. Unsere deutschen Nutzer erinnern sich vielleicht noch an „Zensursula“ und ihr Zugangserschwerungsgesetz, das eine deutschlandweite Zensur-Infrastruktur auf DNS-Ebene zur Folge gehabt hätte. Doch viele Länder haben seit Jahren solche Manipulations-Systeme. Das prominenteste Beispiel ist die „Große Firewall“ in China, die nicht nur illegale, sondern auch andere von der Regierung unerwünschte Inhalte sperrt.
Die Verschlüsselung der DNS-Anfragen mit DNS-over-TLS kann dabei ein erster Schritt sein, um diese Gefahren zu umgehen. Der Nutzer kann so einen vertrauenswürdigen DNS-Server wählen, der die Anfragen wahrheitsgemäß beantwortet. Da die Kommunikation verschlüsselt ist, wird die Antwort auf dem Rückweg nicht manipuliert.
Wie benutze ich DNS-over-TLS?
DNS-over-TLS ist eine sehr junge Technologie, für die es leider noch keine flächendeckende Unterstützung gibt. Mit der neuen Android-Version „Android 9.0 Pie“ ist DNS-over-TLS standardmäßig auf allen aktuellen Android-Smartphones und -Tablets verfügbar und wird dem unverschlüsseltem DNS bevorzugt,wenn der konfigurierte DNS-Server DoT anbietet.
Wer DNS-over-TLS auf allen anderen Plattformen nutzen möchte, muss sich die Software selbst einrichten. Das DNS Privacy Project ist dafür die primäre Anlaufstelle. Hier findet man DNS-Clients für für verschiedene Betriebssysteme die DNS-over-TLS unterstützen. Für Windows und macOS steht z. B. Stubby zur Verfügung und für Linux gibt es knot, unbound und powerdns.
Kritik an DNS-over-TLS
Mit DNS-over-TLS wird die Namensauflösung etwas sicherer. Es ist jedoch nur ein kleiner Schritt und sollte als Sicherheitsfaktor nicht überschätzt werden. Drei Kritikpunkte sind bisher noch nicht gelöst: Erstens ist bei DNS-over-TLS ausschließlich der Kommunikationskanal zwischen dem Endgerät und dem DNS-Server geschützt. Der DNS-Server kann weiter „lügen“ und falsche Antworten zurückliefern. Zweitens fragt der angefragte DNS-Server für Requests, die er nicht beantworten kann, den nächsten zuständigen Server. Diese Kommunikation der Server untereinander bleibt unverschlüsselt.
Der dritte Punkt hat nur indirekt mit DoT zu tun: Direkt nach einer erfolgreichen Namensauflösung baut ein Browser üblicherweise eine HTTPS-Verbindung auf, um z. B. eine Webseite zu laden. Damit der Webserver herausfinden kann, welche Webseite er ausliefern soll, muss ihm das Endgerät per Server Name Indication (SNI) den gewünschten Hostnamen mitteilen. Dies muss geschehen, bevor die verschlüsselte HTTPS-Verbindung aufgebaut werden kann. Somit wird der zunächst per DNS-over-TLS verschlüsselt übertragene Request kurz darauf doch wieder unverschlüsselt übertragen und möglichen Angreifern preisgegeben.
DNS-over-TLS und Perfect Privacy VPN
Die Nutzung eines VPN-Zugangs von Perfect Privacy kann gegen die meisten dieser Kritikpunkte schützen. Wir betreiben DNS-Server innerhalb des verschlüsselten VPN-Netzwerkes. Das bedeutet, dass auch normale unverschlüsselte DNS-Anfragen durch den verschlüsselten VPN-Tunnel geleitet und intern beantwortet werden. Eine zusätzliche Verschlüsselung der DNS-Requests ist also innerhalb des VPN-Tunnels nicht nötig. DNS-Anfragen, die das VPN-Netzwerk verlassen, sind anonymisiert und können keinem VPN-Nutzer mehr zugeordnet werden. Unsere Nutzer müssen sich keine Gedanken um eine zusätzliche DNS-Verschlüsselung (z. B. per DNS-over-TLS) machen, da dank des VPN-Tunnels bereits alle DNS-Requests verschlüsselt sind. Ein VPN-Zugang von Perfect Privacy ist zudem die beste Lösung, um den gesamten Internetverkehr zu verschlüsseln – nicht nur die DNS-Requests.
Andere Ansätze: DNS over TLS vs. DNS over HTTPS
Neben DNS-over-TLS gibt es noch einen anderen Ansatz, die Namensauflösung zu verschlüsseln: DNS-over-HTTPS. Dies ist ein experimentelles und deutlich komplexeres Protokoll, das die DNS-Anfragen über eine HTTPS-Verbindung durchführen soll. Es befindet sich zur Zeit noch in der Entwurfsphase und wird von der Mozilla Foundation und Google getestet.
Fazit
Nutzer eines VPN-Tunnels von Perfect Privacy profitieren von der Verschlüsselung ihres gesamten Internetverkehrs. Der VPN-Zugang schützt damit neben der Privatsphäre der Nutzer auch gegen Manipulation und Spionage (nicht nur) von DNS-Abfragen. Gleichzeitig freuen wir uns, dass wir als erster VPN-Provider mit DNS-over-TLS eine neue zukunftsweisende Technologie anbieten können, die spätestens seit der neuen Android-Version auf bestem Wege ist, zum allgemein anerkannten Standard zu werden.
Nutzern ohne VPN-Zugang empfehlen wir diese Möglichkeit in Betracht zu ziehen. Es kann zur Verbesserung der Sicherheit beitragen, benötigt in den meisten Fällen aber eine manuelle Installation.
Auch interessant
- Der Der jüngste Forenpost zum Thema – geht technisch noch etwas ins Detail
- Die IETF-Standards RFC 7858 und RFC 8310
- DNS Leak Check – Unser Tool, um bei bestehender VPN-Verbindung DNS-Leaks zu erkennen