Screenshots: CL | Lizenz: CC-by-sa 4.0
InhaltsverzeichnisEinführung
Das Klassische DNS-Protokoll enthält keine Authentifizierung die sicherstellt, dass man wirklich mit dem gewünschten DNS-Server verbunden ist. Um diese Schwächen zu vermeiden, kann man den Datenverkehr zum DNS-Server verschlüsseln. Das stellt kryptografisch sicher, dass man wirklich mit dem gewünschten Server verbunden ist (Authentifizierung) und verhindert eine Manipulation der Daten.
Verschlüsseltes DNS
Selten haben DNS-Protokolländerungen so heftige Diskussionen ausgelöst wie im Fall von DNS-over-HTTPs (DoH) und DNS-over-TLS (DoT). Diese zwei neuen Protokolle DoT RFC 7858 und DoH RFC 8484. Beide Protokolle sichern DNS-Anfragen zwischen Client-Systemen und DNS-Server durch Verschlüsselung und Authentifizierung ab.
DoX in der Übersicht
Do53 = DNS-over-Port53 – Klassisches DNS (UDP/TCP Port 53)
DoT = DNS-over-TLS – TLS als Transporteur (TCP Port 853)
DoH = DNS-over-HTTPS – HTTPS als Transporteur
DoQ = DNS-over-QUIC – QUIC als Transporteur
DoC = DNS-over-Cloud – DNS-Auflösung über Cloud-Dienste
DoHoT = DNS-over-HTTPS-over-Tor – HTTPS Transport durch Tor
ODoH = Oblivious DNS-over-HTTPS – einfaches Onion Routing mit nur einem Hop
Vortrag
Hier geht es zu einem 25 Minuten Vortrag: Encrypted DNS, Eposide II
DoT oder DoH
DoT läuft auf einem eigenen Port 853, während DoH huckepack auf HTTPS (Port 443) läuft. DoT kann einfach durch Port-blocken geblockt werden, DoH Anfragen nicht, auch mit DPI nicht durch packet-auffüllung und Komprimierung (padding and compression in RFC 8484).
DoT wurde zunächst weitgehend ignoriert, DoH von Browser-herstellern übernommen und sorgte für hitzige Diskussionen.
Details. DoH kann im Browser einfach aktiviert werden.
DoH im Browser

In den Einstellungen unter about:preferences#general
DNS über HTTPS aktivieren.
[Fortgeschrittene] DoH im Browser

In about:config
suche nach network.trr.resolvers
und alle momentan bekannten DoH DNS-Server eingetragen.
Oder über user.js können alle momentan bekannten DoH DNS-Server eingetragen werden.

In den Einstellungen unter about:preferences#general
deinen DNS über HTTPS Server ausgewählen.
Bestimmte Domains ausschließen
https://support.mozilla.org/de/kb/firefox-dns-%C3%BCber-https#w_bestimmte-domains-ausschliessen
DoH im Browser Testen
Mit dnsleaktest.com | DNS leak test könnt ihr einfach prüfen, ob der ausgewählte DoH-DNS-Server verwendet wird. Ruft die Seite auf und tippt auf Standard Test | Start Test – habt ihr Cloudflare (Standard) gewählt sollte als Ergebnis etwa so erscheinen:
- dnsleaktest.com: ISP – Cloudflare
- DNS leak test: AS13335 CLOUDFLARENET