doh

Verschlüsseltes DNS für den Browser – DoH

Screenshots: CL | Lizenz: CC-by-sa 4.0

Inhaltsverzeichnis

Einführung

Das Klassische DNS-Protokoll enthält keine Authentifizierung die sicherstellt, dass man wirklich mit dem gewünschten DNS-Server verbunden ist. Um diese Schwächen zu vermeiden, kann man den Datenverkehr zum DNS-Server verschlüsseln. Das stellt kryptografisch sicher, dass man wirklich mit dem gewünschten Server verbunden ist (Authentifizierung) und verhindert eine Manipulation der Daten.

Verschlüsseltes DNS

Selten haben DNS-Protokolländerungen so heftige Diskussionen ausgelöst wie im Fall von DNS-over-HTTPs (DoH) und DNS-over-TLS (DoT). Diese zwei neuen Protokolle DoT RFC 7858 und DoH RFC 8484. Beide Protokolle sichern DNS-Anfragen zwischen Client-Systemen und DNS-Server durch Verschlüsselung und Authentifizierung ab.

DoX in der Übersicht

Do53 = DNS-over-Port53 – Klassisches DNS (UDP/TCP Port 53)
DoT = DNS-over-TLS – TLS als Transporteur (TCP Port 853)
DoH = DNS-over-HTTPS – HTTPS als Transporteur
DoQ = DNS-over-QUIC – QUIC als Transporteur
DoC = DNS-over-Cloud – DNS-Auflösung über Cloud-Dienste
DoHoT = DNS-over-HTTPS-over-Tor – HTTPS Transport durch Tor
ODoH = Oblivious DNS-over-HTTPS – einfaches Onion Routing mit nur einem Hop

Vortrag

Hier geht es zu einem 25 Minuten Vortrag: Encrypted DNS, Eposide II

DoT oder DoH

DoT läuft auf einem eigenen Port 853, während DoH huckepack auf HTTPS (Port 443) läuft. DoT kann einfach durch Port-blocken geblockt werden, DoH Anfragen nicht, auch mit DPI nicht durch packet-auffüllung und Komprimierung (padding and compression in RFC 8484).

DoT wurde zunächst weitgehend ignoriert, DoH von Browser-herstellern übernommen und sorgte für hitzige Diskussionen.
Details. DoH kann im Browser einfach aktiviert werden.

DoH im Browser

doh_default

In den Einstellungen unter about:preferences#general DNS über HTTPS aktivieren.

Fortgeschrittene

[Fortgeschrittene] DoH im Browser

network.trr.resolvers

In about:config suche nach network.trr.resolvers und alle momentan bekannten DoH DNS-Server eingetragen.

Oder über user.js können alle momentan bekannten DoH DNS-Server eingetragen werden.

doh_einstellungen

In den Einstellungen unter about:preferences#general deinen DNS über HTTPS Server ausgewählen.

Bestimmte Domains ausschließen

https://support.mozilla.org/de/kb/firefox-dns-%C3%BCber-https#w_bestimmte-domains-ausschliessen

DoH im Browser Testen

Mit dnsleaktest.comDNS leak test könnt ihr einfach prüfen, ob der ausgewählte DoH-DNS-Server verwendet wird. Ruft die Seite auf und tippt auf Standard Test | Start Test – habt ihr Cloudflare (Standard) gewählt sollte als Ergebnis etwa so erscheinen:

  • dnsleaktest.com: ISP – Cloudflare
  • DNS leak test: AS13335 CLOUDFLARENET
Fortgeschrittene

[Fortgeschrittene] DNS Ausspähbarkeits Test

Kannst du deinem DNS-Servern vertrauen?

Quellen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.