DNS over TLS

DNS over TLS (DoT) ist ein Protokoll, mit dem DNS-Abfragen, d. h. vor allem Abfragen zur Auflösung von Hostnamen in IP-Adressen und umgekehrt, über das Transport-Layer-Security-Protokoll verschlüsselt übertragen werden. Es handelt sich um einen von der Internet Engineering Task Force vorgeschlagenen Standard, RFC 7858.[1]

Protokoll

Bei DNS over TLS werden DNS-Anfragen und Antworten über eine mit TLS gesicherte Verbindung übertragen, die zwischen dem Client wie bspw. dem Webbrowser und dem Server des DNS-Anbieters aufgebaut wird. TLS (Transport Layer Security, weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer SSL) ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Der für DNS over TLS zum Verbindungsaufbau von der IETF standardisierte Port ist 853.[2]

Sicherheit

Die DNS-Abfrage ist in diesem Fall über das Verschlüsselungsprotokoll Transport Layer Security (TLS) gesichert und – im Gegensatz zum ungesicherten DNS – gegen Ausspähung und Manipulation durch einen Man-in-the-Middle-Angriff geschützt. Dadurch soll sowohl die Privatsphäre der Anwender vor Lauschern geschützt als auch die Einschleusung manipulierter DNS-Informationen verhindert werden. Zudem sollen damit Denial-of-Service-Attacken erschwert werden.[3]

Implementierungen

Auf Client-Seite wird DNS over TLS von Android ab Android P ohne Zusatzprogramme vom Betriebssystem direkt unterstützt.[4] Dabei erlaubt das Android Pie dem Nutzer, den bevorzugten DoT-Server explizit in den Einstellungen einzutragen. Das Betriebssystem Windows hat z. Z. keinen[5] eigenen Support für DoT, weswegen hier auf lokale DNS-Resolver gesetzt werden muss, die die DNS-Anfragen mittels dem Localhost zuerst intern auf dem Client umleiten und dann zu den entsprechenden öffentlichen Servern weiterleiten. Auf Server-Seite wird es von verschiedenen Programmen unterstützt. So wird es in DNSDist von PowerDNS in der aktuellen Version 1.3.0. unterstützt.[6] Name Server Daemon unterstützt DoT seit Version 4.2.[7] Bei BIND ist es in Kombination mit dem Tool stunnel möglich, DNS over TLS zu verwenden.[8] Technitium DNS Servers hat bekannt gegeben, dass sie DNS over TLS seit Version 1.3 unterstützen.[9]

Öffentliche DNS-Server

DNS over TLS wird mittlerweile frei verfügbar von einer Reihe öffentlicher DNS-Provider angeboten,[10] unter anderem:

Provider	Server IP-Adressen	Hostname (DoT-Adresse)	Inhaltsblockierung	Eigenschaften
CleanBrowsing[11]	IPv4: 185.228.168.168 185.228.168.169 IPv6: 2a0d:2a00:1:: 2a0d:2a00:2::	`adult-filter-dns.cleanbrowsing.org` `family-filter-dns.cleanbrowsing.org` `security-filter-dns.cleanbrowsing.org`	wählbar:[12] Security-Filter (Malware, Phishing, …) Adult-Filter (blockt zusätzlich zum Security-Filter pornografische und obszöne Inhalte, jedoch keinen Mixed-Content wie z. B. Reddit) Family-Filter (blockt zusätzlich zu Security- und Adult-Filter auch Mixed-Content wie Reddit und auch VPN und Proxy)	Port 853, DNSSEC-Validierung
Cloudflare[13]	IPv4: 1.1.1.1 1.0.0.1 IPv6: 2606:4700:4700::1111 2606:4700:4700::1001	`one.one.one.one`[14] `1dot1dot1dot1.cloudflare-dns.com`[15] `security.cloudflare-dns.com`[16] `family.cloudflare-dns.com`[16]	wählbar: keiner (1.1.1.1 bzw. one. oder 1dot.) Schutz vor Malware (1.1.1.2 bzw. security.) Schutz vor Malware und Erwachseneninhalte (1.1.1.3 bzw. family.)	Port 853, DNSSEC-Validierung
Digitalcourage	IPv4: 5.9.164.112 IPv6: 2a01:4f8:251:554::2	`dns3.digitalcourage.de`[17]	nein	Port 853, DNSSEC-Validierung, kein Logging
Digitale Gesellschaft Schweiz	IPv4: 185.95.218.42 185.95.218.43 IPv6: 2a05:fc84::42 2a05:fc84::43	`dns.digitale-gesellschaft.ch`[18]	nein	Port 853, DNSSEC-Validierung, kein Logging
Google Public DNS[19]	IPv4: 8.8.8.8 8.8.4.4 IPv6: 2001:4860:4860::8888 2001:4860:4860::8844	`dns.google`[20]	nein	Port 853, DNSSEC-Validierung
Quad9[21]	IPv4: 9.9.9.9 149.112.112.112 IPv6: 2620:fe::fe 2620:fe::9	`dns.quad9.net`[22]	schädliche Domains	Port 853, DNSSEC-Validierung
Foundation for Applied Privacy	IPv4: 146.255.56.98 IPv6: 2a02:1b8:10:234::2	`dot1.applied-privacy.net`[23]	nein	Port 443 und 853, DNSSEC-Validierung, kein Logging[24]
Mullvad[25]	IPv4: 194.242.2.2 193.19.108.2 194.242.2.3 (adblock) 193.19.108.3 (adblock) IPv6: 2a07:e340::2 2a07:e340::3 (adblock)	doh.mullvad.net adblock.doh.mullvad.net (adblock)	Server mit und ohne Adblocking verfügbar	DoT: TCP Port 853 DoH: TCP Port 443 keine DNSSEC-Validierung?

Unterschiede zu anderen Protokollen

Standardmäßig werden DNS-Anfragen und Antworten unverschlüsselt mit UDP übertragen.

Für die Implementierung einer Verschlüsselung gibt es aktuell vor allem drei Optionen, nämlich:

DNS over TLS (DoT)
DNS over HTTPS (DoH)
DNSCrypt

Bei DNS over TLS werden normale DNS-Anfragen über einen TLS-Tunnel geschickt, während bei DNS over HTTPS eine HTTPS-Verbindung aufgebaut wird, über die die Kommunikation erfolgt. Dies führt dazu, dass – falls der DNS-Provider auf Port 443 zusätzlich eine Website anbietet – für einen Lauscher im Gegensatz zu DNS over TLS auch nicht ersichtlich ist, ob DNS-Anfragen gestellt oder Webinhalte abgerufen werden. Dafür ist DNS over TLS deutlich schneller. Drittens gibt es noch DNSCrypt, bei dem Anfragen und Antworten verschlüsselt direkt per UDP oder TCP übertragen werden.[26][27]

Siehe auch

DNS over HTTPS
Domain Name System Security Extensions (DNSSEC)
DNS-based Authentication of Named Entities (DANE)
DNSCurve

Literatur

Mark E.Jeftovic: Managing Mission - Critical Domains and DNS. S. 303 eingeschränkte Vorschau in der Google-Buchsuche
Michael Dooley, Timothy Roone: DNS Security Management. S. 168 eingeschränkte Vorschau in der Google-Buchsuche

Weblinks

DNS Privacy Project: dnsprivacy.org
Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman: RFC 7858. – Specification for DNS over Transport Layer Security (TLS). [Errata: RFC 7858]. Mai 2016. (Aktualisiert durch RFC 8310 – englisch).

Einzelnachweise

Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman: RFC 7858. – Specification for DNS over Transport Layer Security (TLS). Mai 2016. (englisch).
Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman: RFC 7858 – Specification for DNS over Transport Layer Security (TLS). Mai 2016. Abschnitt 3: Establishing and Managing DNS-over-TLS Sessions. (englisch).
DNS mit Privacy und Security vor dem Durchbruch heise.de
Erik Kline, Ben Schwartz: DNS over TLS support in Android P Developer Preview. In: Android Developers Blog. 13. April 2018, abgerufen am 30. Juli 2018.
Windows will improve user privacy with DNS over HTTPS. 18. November 2019, abgerufen am 16. Oktober 2020 (englisch).
DNS-over-TLS. Abgerufen am 31. Juli 2018 (englisch).
News - NSD 4.2.0 released. Abgerufen am 11. Oktober 2019 (englisch).
Bind - DNS over TLS.
Configuring DNS Server For Privacy & Security (en) In: blog.technitium.com. Abgerufen am 19. Juli 2018.
Troubleshooting DNS over TLS.
CleanBrowsing - DNS over TLS.
NOC org / dcid: Parental Control with DNS over TLS Support. Abgerufen am 10. Januar 2019 (englisch).
CloudFlare - DNS over TLS.
Cloudflare Inc: Android - Cloudflare Resolver. Abgerufen am 11. Februar 2020 (englisch).
Enable Private DNS with 1.1.1.1 on Android 9 Pie. 16. August 2018, abgerufen am 10. Januar 2019 (englisch).
DNS over HTTPS · 1.1.1.1 docs. Abgerufen am 11. Februar 2021 (englisch).
Zensurfreier DNS-Server | Digitalcourage. Abgerufen am 10. Oktober 2021.
Öffentliche DNS-over-TLS- und HTTPS-DNS-Resolver. Abgerufen am 2. September 2019 (deutsch).
Google Public DNS now supports DNS-over-TLS. In: Google Online Security Blog. Abgerufen am 10. Januar 2019 (englisch).
DNS-over-TLS | Public DNS. Abgerufen am 10. Januar 2019 (englisch).
Quad9 - DNS over TLS.
Private DNS using Quad9 on Android 9 • Quad 9. In: Quad 9. 18. September 2018, abgerufen am 10. Januar 2019 (amerikanisches Englisch).
Foundation for Applied Privacy: DNS Privacy Services. 12. März 2019, abgerufen am 31. März 2021.
Foundation for Applied Privacy: Privacy Policy. 7. April 2018, abgerufen am 31. März 2021.
DNS over HTTPS and DNS over TLS - Guides. Abgerufen am 19. Januar 2022 (englisch).
Tenta DNS over TLS vs DNSCrypt. In: Tenta Browser Blog. (tenta.com [abgerufen am 5. August 2018]).
Home page of the DNSCrypt project [DNS security]. Abgerufen am 5. August 2018 (englisch).

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.

[1] Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman: RFC 7858. – Specification for DNS over Transport Layer Security (TLS). Mai 2016. (englisch).

[2] Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman: RFC 7858 – Specification for DNS over Transport Layer Security (TLS). Mai 2016. Abschnitt 3: Establishing and Managing DNS-over-TLS Sessions. (englisch).

[3] DNS mit Privacy und Security vor dem Durchbruch heise.de

[4] Erik Kline, Ben Schwartz: DNS over TLS support in Android P Developer Preview. In: Android Developers Blog. 13. April 2018, abgerufen am 30. Juli 2018.

[5] Windows will improve user privacy with DNS over HTTPS. 18. November 2019, abgerufen am 16. Oktober 2020 (englisch).

[DNSDist_DNS_over_TLS-6] DNS-over-TLS. Abgerufen am 31. Juli 2018 (englisch).

[7] News - NSD 4.2.0 released. Abgerufen am 11. Oktober 2019 (englisch).

[8] Bind - DNS over TLS.

[9] Configuring DNS Server For Privacy & Security (en) In: blog.technitium.com. Abgerufen am 19. Juli 2018.

[troubleshoot-dnsovertls-10] Troubleshooting DNS over TLS.

[11] CleanBrowsing - DNS over TLS.

[12] NOC org / dcid: Parental Control with DNS over TLS Support. Abgerufen am 10. Januar 2019 (englisch).

[13] CloudFlare - DNS over TLS.

[14] Cloudflare Inc: Android - Cloudflare Resolver. Abgerufen am 11. Februar 2020 (englisch).

[15] Enable Private DNS with 1.1.1.1 on Android 9 Pie. 16. August 2018, abgerufen am 10. Januar 2019 (englisch).

[:0-16] DNS over HTTPS · 1.1.1.1 docs. Abgerufen am 11. Februar 2021 (englisch).

[17] Zensurfreier DNS-Server | Digitalcourage. Abgerufen am 10. Oktober 2021.

[18] Öffentliche DNS-over-TLS- und HTTPS-DNS-Resolver. Abgerufen am 2. September 2019 (deutsch).

[19] Google Public DNS now supports DNS-over-TLS. In: Google Online Security Blog. Abgerufen am 10. Januar 2019 (englisch).

[20] DNS-over-TLS | Public DNS. Abgerufen am 10. Januar 2019 (englisch).

[21] Quad9 - DNS over TLS.

[22] Private DNS using Quad9 on Android 9 • Quad 9. In: Quad 9. 18. September 2018, abgerufen am 10. Januar 2019 (amerikanisches Englisch).

[23] Foundation for Applied Privacy: DNS Privacy Services. 12. März 2019, abgerufen am 31. März 2021.

[24] Foundation for Applied Privacy: Privacy Policy. 7. April 2018, abgerufen am 31. März 2021.

[25] DNS over HTTPS and DNS over TLS - Guides. Abgerufen am 19. Januar 2022 (englisch).

[26] Tenta DNS over TLS vs DNSCrypt. In: Tenta Browser Blog. (tenta.com [abgerufen am 5. August 2018]).

[27] Home page of the DNSCrypt project [DNS security]. Abgerufen am 5. August 2018 (englisch).