Menü

Sicheres DNS (DoT, DoH, DNSSEC, gefiltert)

Das Domain Name System übernimmt seit Beginn des Internets die essenzielle Aufgabe, Domain-Namen in IP-Adressen umzusetzen. Bei seiner Entwicklung vor rund 40 Jahren gab es noch keine Notwendigkeit, es zu verschlüsseln. Heutzutage nehmen autoritäre Staaten bei Zensur typischerweise zuallererst Einfluss auf das DNS im Land, um staatlich unliebsame Webseiten oder digitale Dienste zu blockieren. Außderdem birgt ein unverschlüsseltes DNS inzwischen Gefahren wie etwa DNS-Hijacking (unverschlüsselte DNS-Anfragen werden abgefangen, in falsche IP-Adressen umgesetzt und die Internetnutzer mitunter unbemerkt auf Websites umgeleitet, die sie mit Malware oder Phishing-Attacks konfrontieren).

DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH) sind verschlüsselte Verkapselungen des bisherigen DNS, die solche Ein- und Angriffe verhindern.

Dieser Server stellt beide Varianten zur freien Verfügung.

Hostname für DNS-over TLS (DoT):
dns.rein-priv.at
(IP: 185.216.179.18)

URL für DNS-over-HTTPS (DoH):
https://dns.rein-priv.at/dns-query

 

Vergleich beider Varianten

DoT bietet sichere DNS-Kommunikation mit geringerer Latenz, kann aber von (staatlichen) Firewalls wegen der Nutzung eines speziellen Ports (853/TCP) leicht erkannt und blockiert werden.

DoH bietet einen robusten Schutz gegen Zensur und Man-in-the-Middle-Attacks und wird von den meisten modernen Browsern unterstützt. Allerdings ist es wegen seines größeren Overheads weniger performant und gibt durch Nutzung des Protokolls HTTP(S) auch mehr preis (HTTP-Auth-Header, User-Agent ...). DoH dient in erster Linie der Umgehung von Zensur durch DNS-Manipulation und passiert (wegen der Nutzung des weltweit verwendeten Ports 443) auch (staatliche) Firewalls. Die vergleichsweise höhere Latenz ist dafür billigend inkaufzunehmen.

Fazit

In einem Überwachungsstaat verwendet man also besser DoH; ist man dagegen nicht mit Zensur konfrontiert, ist DoT klar vorzuziehen.

 

Konfigurationen der Geräte

DNS-over-TLS

  • Android-Smartphones können seit Android 9 DNS-over-TLS nutzen. Die Option heißt "Privates DNS" und verbirgt sich in den erweiterten Einstellungen für "Netzwerk & Internet". (Anleitung)
  • iPhones können seit iOS 14 DNS-over-TLS nutzen. (Anleitung)
  • Fritz!Boxen können seit Fritz!OS 7.29 DNS-over-TLS nutzen. (Anleitung)

DNS-over-HTTPS

  • iPhones können seit iOS 14 auch DNS-over-HTTPS verwenden mit einem passenden Konfigurationsprofil (Anleitung).
  • Firefox und Thunderbird können die DNS Einstellungen des Systems umgehen und DNS-over-HTTPS-Server als Trusted Recursive Resolver verwenden. (Anleitung)
  • Chrome und dessen Ableger unterstützen in modernen Versionen ebenfalls DNS-over-HTTPS.
  • Als lokaler DNS Resolver für Desktop PCs kann dnscrypt-proxy genutzt werden, der auch DNS-over-HTTPS unterstützt.

Filterung

Beide oben genannten Adressen filtern (als nützlichen Zusatz) zudem Werbung und Seiten mit dubiosen/gefährlichen Inhalten mithilfe der gepflegten Listen (Adware, Malware, Gambling und Fakenews) von Steven Black.
Das spart Daten ... und Nerven.
(Stichwort: "Pi-hole to go")