ODoH - Oblivious DNS over HTTPS

Oblivious DNS over HTTPS (ODoH) ist ein Protokoll, das die Privatsphäre von DNS over HTTPS verbessert. Beim herkömmlichen DNS over HTTPS kann der DNS-Resolver sowohl die IP-Adresse des Clients als auch den Inhalt des DNS-Requests sehen. ODoH trennt die IP-Adresse des Clients und den Inhalt des Requests, um eine anonymisierte DNS-Kommunikation zu erreichen.

Dabei kombiniert Oblivious DNS over HTTPS zwei wichtige Merkmale:

  1. Der Client verschlüsselt seine DNS-Anfrage mit dem öffentlichen Schlüssel des DNS-Resolvers.
  2. Ein Proxy-Server wird zwischen Client und DNS-Resolver geschaltet.

Funktionsweise von Oblivious DNS over HTTPS

Funktionsweise von Oblivious DNS over HTTPS

Der DNS-Kommunikation läuft bei ODoH wie folgt ab:

  1. Der Client sendet den verschlüsselten DNS-Request an einen Proxy-Server.
  2. Der Proxy-Server leitet den Request an den DNS-Resolver weiter, und merkt sich die IP-Adresse des Clients.
  3. Der DNS-Resolver kann den DNS-Request entschlüsseln und beantworten. Er sendet den verschlüsselten DNS-Response an den Proxy-Server zurück.
  4. Der Proxy-Server leitet den DNS-Response an den Client weiter, der ihn lesen kann.

Vorteile

  1. Der Proxy kennt die IP-Adresse des Clients, kann aber den Inhalt des Requests nicht lesen, weil der verschlüsselt ist.
  2. Der DNS-Resolver kann den Inhalt des Requests lesen, weil er den privaten Schlüsselt hat. Er kennt aber nicht die IP-Adresse des Clients, sondern nur die vom Proxy-Server.

Wichtig: Die DNS-Kommunikation ist und bleibt auf diese Weise nur dann anonymisiert, wenn die Betreiber von Proxy-Server und DNS-Resolver unterschiedlich sind und keine Meta-Daten der Kommunikation zusammenführen.

Fazit

Oblivious DNS over HTTPS ist nicht sehr weit verbreitet. Allerdings unterstützt es Cloudflare in seinem DNS-Dienst unter 1.1.1.1. Und Apple nutzt ODoH als Grundlage für seinen iCloud Private Relay-Dienst. Außerdem gibt es ein paar Open-Source-Tools, die ODoH unterstützen.

Hinweis: Wenn es einen Anbieter gibt, der einen anonymisierten DNS-Dienst hat, dann ist die Privatsphäre der DNS-Kommunikation nur dann gegeben, wenn der Proxy-Server und der DNS-Resolver von unterschiedlichen Anbietern betrieben werden.

Übersicht: DNS mit Privacy und Security

Weitere verwandte Themen:

  • erster Eintrag

Lernen mit Elektronik-Kompendium.de

Noch Fragen?

Bewertung und individuelles Feedback erhalten

Freitextaufgaben zum Artikel beantworten, korrigieren lassen und zum Profi werden.

Aussprache von englischen Fachbegriffen

Netzwerktechnik-Fibel

Alles was du über Netzwerke wissen musst.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Netzwerktechnik-Fibel

Alles was du über Netzwerke wissen musst.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Artikel-Sammlungen zum Thema Netzwerktechnik

Alles was du über Netzwerktechnik wissen solltest.

Netzwerk-Grundlagen

Netzwerk-Grundlagen

eBook kaufen

IPv6

IPv6

eBook kaufen

IPv4

IPv4

eBook kaufen

Netzwerk-Sicherheit

Netzwerk-Sicherheit

eBook kaufen