DNS over TLS: Verschlüsseltes DNS jetzt bei uns

DNS over TLS: Verschlüsseltes DNS jetzt bei uns

 

Sergeant Stubby

DNS over TLS (DoT) ist eine neue Technologie, um DNS-Anfragen zu verschlüsseln. Dies soll den Nutzer vor Manipulation und Ausspähung der Namensauflösung durch Man-in-the-middle-Angriffe schützen. Mit der Standardisierung durch die Internet Engineering Task Force (IETF) und der Unterstützung in der kürzlich veröffentlichten neuen Android-Version „Pie“ entwächst diese zukunftsweisende Technologie gerade aus seinen Kinderschuhen. Als erster VPN-Anbieter freuen wir uns, unseren Nutzern ab sofort exklusiv DNS over TLS anbieten zu können.

Was ist DNS?

Computer, Smartphones und alle Geräte mit Netzwerkzugriff kommunizieren untereinander mittels IP-Adressen. Um beispielsweise unsere Webseite aufzurufen (Hostname: www.perfect-privacy.com), benötigt der Nutzer die zugehörige IP-Adresse. Für diese Namensauflösung wurde schon 1985 das Domain Name System (DNS) erfunden. Es ist somit einer der wichtigsten Dienste im Internet.

Und was ist DNS over TLS?

Vor über dreißig Jahren war die Sicherheit, Schutz vor Manipulation und Bespitzelung im Internet kein großes Thema. Das hat sich mittlerweile geändert: Die Verschlüsselung von Web-Traffic mit HTTPS ist seit vielen Jahren zum Standard geworden. Doch normale DNS-Anfragen sind nach wie vor standardmäßig unverschlüsselt.

Deshalb begrüßen wir es, dass es neuerdings einen von der IETF vorgeschlagenen Standard gibt, um DNS-Anfragen zu verschlüsseln: das DNS over TLS (DoT). Ähnlich, wie HTTPS die verschlüsselte Version vom HTTP ist, ist DoT die verschlüsselte Version vom DNS. Die herkömmlichen DNS-Anfragen werden dabei in eine verschlüsselte TLS-Verbindung verpackt (Transport Layer Security, weitläufiger bekannt als SSL / Secure Sockets Layer).

Warum DNS over TLS?

Die Verschlüsselung von DNS-Anfragen schützt einerseits vorm Mitlesen und Abhören der Namensauflösung und trägt damit zum Schutz der Privatsphäre des Nutzers bei. Zudem kann DNS over TLS vor Manipulation der DNS-Requests schützen. Die Veränderung von DNS-Anfragen ist gängige Praxis: Auch unsere TrackStop-Filter funktionieren auf DNS-Ebene. Wenn der Nutzer diese Filter einschaltet, werden z. B. Tracking-Dienste, Werbung und bekannte Phishing-Seiten blockiert, indem die DNS-Anfragen nicht beantwortet werden. Natürlich können unsere Nutzer die Filter jederzeit wieder deaktivieren und ein ungefiltertes Internet genießen.

Die Telekom beispielsweise meint es gut mit ihren Kunden: Falls sich ein Telekom-Kunde vertippt hat und ein Hostname nicht zu einer IP-Adresse aufgelöst werden konnte, liefert der DNS-Server der Telekom eine (falsche) IP-Adresse zurück, die den Nutzer zur „Navigationshilfe“ führt. Doch die DNS-Manipulation ist oft die erste Wahl für Zensur-Mechanismen. Unsere deutschen Nutzer erinnern sich vielleicht noch an „Zensursula“ und ihr Zugangserschwerungsgesetz, das eine deutschlandweite Zensur-Infrastruktur auf DNS-Ebene zur Folge gehabt hätte. Doch viele Länder haben seit Jahren solche Manipulations-Systeme. Das prominenteste Beispiel ist die „Große Firewall“ in China, die nicht nur illegale, sondern auch andere von der Regierung unerwünschte Inhalte sperrt.

Die Verschlüsselung der DNS-Anfragen mit DNS over TLS kann dabei ein erster Schritt sein, um diese Gefahren zu umgehen. Der Nutzer kann so einen vertrauenswürdigen DNS-Server wählen, der die Anfragen wahrheitsgemäß beantwortet. Da die Kommunikation verschlüsselt ist, wird die Antwort auf dem Rückweg nicht manipuliert.

Wie benutze ich DNS over TLS?

DNS over TLS ist eine sehr junge Technologie, für die es leider noch keine flächendeckende Unterstützung gibt. Mit der neuen Android-Version „Android 9.0 Pie“ ist DNS over TLS standardmäßig auf allen aktuellen Android-Smartphones und -Tablets verfügbar und wird dem unverschlüsseltem DNS bevorzugt, falls der konfigurierte DNS-Server DoT anbietet.

Wer DNS over TLS auf allen anderen Plattformen nutzen möchte, muss sich die Software selbst einrichten. Das DNS Privacy Project ist dafür die primäre Anlaufstelle. Hier findet man DNS-Clients für mehrere Betriebssysteme, die DNS over TLS unterstützen. Für Windows und macOS steht z. B. Stubby zur Verfügung und für Linux gibt es knot, unbound und powerdns.

Kritik an DNS over TLS

Mit DNS over TLS wird die Namensauflösung etwas sicherer. Es ist jedoch nur ein kleiner Schritt und sollte als Sicherheitsfaktor nicht überschätzt werden. Drei Kritikpunkte sind bisher noch nicht gelöst: Erstens ist bei DNS over TLS ausschließlich der Kommunikationskanal zwischen dem Endgerät und dem DNS-Server geschützt. Der DNS-Server kann weiter „lügen“ und falsche Antworten zurückliefern. Zweitens fragt der angefragte DNS-Server für Requests, die er nicht beantworten kann, den nächsten zuständigen Server. Diese Kommunikation der Server untereinander bleibt unverschlüsselt.

Der dritte Punkt hat nur indirekt mit DoT zu tun: Direkt nach einer erfolgreichen Namensauflösung baut ein Browser üblicherweise eine HTTPS-Verbindung auf, um z. B. eine Webseite zu laden. Damit der Webserver herausfinden kann, welche Webseite er ausliefern soll, muss ihm das Endgerät per Server Name Indication (SNI) den gewünschten Hostnamen mitteilen. Dies muss geschehen, bevor die verschlüsselte HTTPS-Verbindung aufgebaut werden kann. Somit wird der zunächst per DNS over TLS verschlüsselt übertragene Request kurz darauf doch wieder unverschlüsselt übertragen und möglichen Angreifern preisgegeben.

DNS over TLS und Perfect Privacy VPN

Die Nutzung eines VPN-Zugangs von Perfect Privacy kann gegen die meisten dieser Kritikpunkte schützen. Wir betreiben DNS-Server innerhalb des verschlüsselten VPN-Netzwerkes. Das bedeutet, dass auch normale unverschlüsselte DNS-Anfragen durch den verschlüsselten VPN-Tunnel geleitet und intern beantwortet werden. Eine zusätzliche Verschlüsselung der DNS-Requests ist also innerhalb des VPN-Tunnels nicht nötig. DNS-Anfragen, die das VPN-Netzwerk verlassen, sind anonymisiert und können keinem VPN-Nutzer mehr zugeordnet werden. Unsere Nutzer müssen sich keine Gedanken um eine zusätzliche DNS-Verschlüsselung (z. B. per DNS over TLS) machen, da dank des VPN-Tunnels bereits alle DNS-Requests verschlüsselt sind. Ein VPN-Zugang von Perfect Privacy ist zudem die beste Lösung, um den gesamten Internetverkehr zu verschlüsseln – nicht nur die DNS-Requests.

Andere Ansätze: DNS over TLS vs. DNS over HTTPS

Neben DNS over TLS gibt es noch einen anderen Ansatz, die Namensauflösung zu verschlüsseln: DNS over HTTPS. Dies ist ein experimentelles und deutlich komplexeres Protokoll, das die DNS-Anfragen über eine HTTPS-Verbindung durchführen soll. Es befindet sich zur Zeit noch in der Entwurfsphase und wird von der Mozilla Foundation und Google getestet.

Fazit

Nutzer eines VPN-Tunnels von Perfect Privacy profitieren von der Verschlüsselung ihres gesamten Internetverkehrs. Der VPN-Zugang schützt damit neben der Privatsphäre der Nutzer auch gegen Manipulation und Spionage (nicht nur) von DNS-Abfragen. Gleichzeitig freuen wir uns, dass wir als erster VPN-Provider mit DNS over TLS eine neue zukunftsweisende Technologie anbieten können, die spätestens seit der neuen Android-Version auf bestem Wege ist, zum allgemein anerkannten Standard zu werden.

Nutzern ohne VPN-Zugang empfehlen wir, sich mit dieser Technologie auseinanderzusetzen. Sie kann einen kleinen Beitrag zum Schutz der Privatsphäre liefern, erfordert aber in der Regel eine manuelle Einrichtung.

Auch interessant


Diese Webseite verwendet Cookies zur Analyse der Zugriffe und zur Steuerung unserer Werbung. Wenn Sie diese Seite nutzen, stimmen Sie der Cookie-Nutzung zu. Mehr Informationen finden Sie in unserer Datenschutzerklärung.