DoH - DNS over HTTPS
Das Domain Name System (DNS) ist ein verteiltes System, das es Computern ermöglicht, leicht zu merkende Domain-Namen in IP-Adressen aufzulösen. Darüberhinaus können weitere Informationen für TCP/IP-Verbindungen über das DNS dezentral verfügbar gemacht werden.
Die Übertragung der DNS-Informationen erfolgt in der Regel im Klartext und ohne nachprüfbaren Absender. Damit besteht die Gefahr, dass die DNS-Kommunikation von Dritten abgehört oder sogar manipuliert wird. Um die Zuverlässigkeit, Sicherheit und den Datenschutz der Namensauflösung mit DNS zu verbessern gibt es mehrere Erweiterungen.
Eine Möglichkeit ist die Übertragung von DNS-Informationen über HTTPS. Das Protokoll DNS over HTTPS, kurz DoH, kapselt die DNS-Kommunikation in HTTP-Pakete ein und sichert die Verbindung zwischen Client und DNS-Resolver mit Transport Layer Security (TLS). Auf diese Weise wird die Namensauflösung auf dem Transportweg geschützt und ist weder abhörbar noch manipulierbar.
HTTPS steht für "Hypertext Transfer Protocol Secure“. Das ist ein Protokoll, um zwischen einem Client und einem Server auf Anwendungsebene Daten von Webseiten auszutauschen. In Kombination mit Transport Layer Security (TLS) wird die Verbindung zwischen dem Webbrowser und dem Webserver verschlüsselt, um zu verhindern, dass Dritte die übertragenen Daten abhören oder manipulieren können.
DNS mit Privacy und Security
Um Datenschutz und Sicherheit in der DNS-Kommunikation und der Daten zu erreichen, gibt es verschiedene, teilweise konkurrierende Lösungen.
- DoT - DNS over TLS
- DoH - DNS over HTTPS
- DoQ - DNS over QUIC
- DNSSEC
Eine „beste Lösung“ gibt es nicht. Alle Verfahren lösen die Sicherheitsprobleme von DNS zumindest teilweise, haben aber mit erheblichen Nachteilen zu kämpfen, weshalb die Entwicklung in diesem Bereich noch nicht abgeschlossen ist. Hierbei muss man bedenken, dass DNS sehr wichtig für das Internet ist, weshalb Fehlfunktionen ausgeschlossen sein müssen.
Welche Probleme löst DNS over HTTPS?
Das Protokoll DNS over HTTPS wurde ursprünglich spezifiziert, um das anlasslose und massenhafte Erfassen von Meta-Daten und Erstellen von Benutzer-Profilen durch Geheimdienste zu unterbinden.
Für die meisten Internet-Nutzer dürfte das kein großes Problem sein, wenn sie im lokalen Netzwerk nur eine private IPv4-Adresse haben und sich mehrere Clients die öffentliche Adresse des Routers teilen. Und bei IPv6 wird die IPv6-Adresse für ausgehende Verbindungen mit Privacy Extensions regelmäßig gewechselt.
In beiden Fällen ist die Zuordnung der einzelnen Namensauflösungen zu einem Gerät oder einer Person schwerer möglich. Anders sieht das aus, wenn man einen Internet-Zugang für sich alleine hat. Zum Beispiel im Mobilfunknetz. Hier ist die Namensauflösung direkt einem Gerät zugeordnet. Außerdem benutzt man eventuell ein Netzwerk, zum Beispiel ein öffentliches WLAN, dessen Betreiber man nicht trauen kann. In diesen Fällen möchte man vielleicht eine sichere DNS-Kommunikation.
Funktionsweise von DNS over HTTPS
| DoT | DoH | DoQ | DoH3 |
|---|---|---|---|
| HTTP/2 | HTTP/3 | ||
| TLS | TLS | QUIC | QUIC |
| TCP | TCP | UDP | UDP |
| IP | IP | IP | IP |
Bei DNS over HTTPS wird die DNS-Kommunikation mit TLS verschlüsselt und in den HTTPS-Datenstrom eingebettet.
DNS over HTTPS kann in zwei verschiedenen Szenarien genutzt werden:
- Während herkömmliches DNS auf der Ebene des Betriebssystems umgesetzt ist, kann mit DNS over HTTPS die Namensauflösung direkt im Browser oder einer App mit einem Webserver erfolgen, der als DNS-Resolver fungiert.
- Die Namensauflösung kann durch einen Webserver erfolgen, zu dem man bereits eine Verbindung hat. Die Idee bei DNS over HTTPS ist, dass der Webserver der ursprünglichen Webseite sich auch gleich um die Namensauflösung kümmert und die IP-Adressen der Webserver der referenzierten Quellen mittels DNS over HTTPS überträgt. So könnte der empfangende Client sich die Namensauflösung für diese Webserver sparen.
Zusätzlich zu DNS over HTTPS wird DNSSEC empfohlen. DNSSEC schützt nicht das Abhören der DNS-Kommunikation, aber stellt sicher, dass die DNS-Informationen korrekt sind. An der Stelle ergänzen sich DNS over HTTPS und DNSSEC sehr gut.
DNS over HTTPS mit HTTP/3 (DoH3)
Bei HTTP/3 handelt es sich im Prinzip um die Fortführung von QUIC durch die IETF. Bei DNS over HTTPS mit HTTP/3 (DoH3) wird das modernere HTTP/3 anstelle des Vorgängers HTTP/2 genutzt. Das ist deshalb sinnvoll, weil die Namensauflösung schneller erfolgen kann. DoH um HTTP/3 zu erweitern, erfordert keinen besonderen Aufwand, weshalb die Migration zu DoH3 der Verbreitung von HTTP/3 folgen wird.
Vorteile von DNS over HTTPS
Wenn jeder Webserver alle IP-Adressen der referenzierten und verlinkten Webseiten gleich per DNS over HTTPS liefert, dann kostet das so gut wie keine zusätzlichen Ressourcen und das massenhafte Aufzeichnen von DNS-Informationen ist wirksam unterbunden.
Mit DNS over HTTPS wird jeder Webserver zu einem potenziellen DNS-Resolver. Damit verschwindet ein Großteil der Namensauflösungen im normalen Web-Datenverkehr über den TCP-Port 443 von HTTPS, weshalb er sich von gewöhnlichem HTTPS-Datenverkehr nicht unterscheiden lässt. Das DNS-basierte Tracking durch Datensammler und Geheimdienste wird ineffizient, weil jeder Webserver die IP-Adressen liefern kann.
Anders als bei DNS over TLS kann man die Namensauflösung mit DNS over HTTPS nicht blockieren, um einen Rückfall auf unverschlüsseltes DNS zu erzwingen.
Probleme bzw. Nachteile von DNS over HTTPS
Manche Netzwerk-Administratoren und Security-Experten sehen den Einsatz von DNS over HTTPS kritisch.
- Erschwerte Diagnose bei Netzwerk-Problemen und Filtern von Datenverkehr
- Gefahr der Konzentration auf wenige Anbieter
- Fragmentierung der verschiedenen Protokolle und Client-Anwendungen
- Umgehung der Netz-internen Namensauflösung
Erschwerte Diagnose bei Netzwerk-Problemen und Filtern von Datenverkehr
DoH kann technische Probleme verursachen, wobei eine Diagnose nur unter erschwerten Bedingungen möglich ist. Wenn es zum Beispiel Probleme bei der Namensauflösung gibt, dann schaut man im Netzwerk-Verkehr einfach nach Datenpaketen mit dem UDP-Port 53 und kann dort einfach reinschauen. Wenn die DNS-Informationen in HTTPS-Datenpaketen enthalten sein können, dann sucht man sich bei deren Analyse den Wolf und dann sind die Datenpakete auch noch verschlüsselt.
Bei DNS over HTTPS ist es kaum möglich die Datenpakete mit der Namensauflösung von unerwünschten Verbindungen zu unterscheiden. Unerwünschter Datenverkehr mit DNS-Informationen im Klartext lässt sich sehr einfach und wirksam unterbinden. Für Kriminelle hat DNS over HTTPS den Vorteil, dass sie jeglichen Datenverkehr, auch die Namensauflösung, im harmlosen und erlaubten HTTPS verschleiern können.
Das Filtern von schädlichen Inhalte wird zwar nicht unmöglich, aber deutlich komplizierter.
Gefahr der Konzentration auf wenige Anbieter
DNS over HTTPS ist hauptsächlich für die Namensauflösung in Browsern gedacht. Von dieser Art von Software gibt es jedoch nicht sehr viele Anbieter. Demnach wird es auch nicht so viele Betreiber von DoH-Server geben. Es könnte zur Folge haben, dass immer mehr DNS-Resolver-Betreiber den Betrieb einstellen, weil die keiner mehr braucht, weil die Namensauflösung über wenige große Anbieter läuft. Das führt zu einer Konzentration der DNS-Informationen bei wenigen großen DNS-Anbietern. Und dadurch wird die Dezentralität von DNS aufgelöst. Wenn fast jede Namensauflösung per DNS over HTTPS bei wenigen Anbietern erfolgt, wäre die Privatsphäre gefährdet. Wenn dieser Weg erst einmal eingeschlagen ist, dann gibt es kein Zurück mehr.
Das bedeutet, obwohl DNS over HTTPS eigentlich der Verbesserung der Privatsphäre dient, könnte genau das Gegenteil davon eintreten.
Fragmentierung der verschiedenen Protokolle und Client-Anwendungen
Mit DNS over HTTPS wandert die Namensauflösung in die Programme, Client-Software und Apps. Dabei haben die Entwickler und Anbieter der Software die Kontrolle darüber, welcher DNS-Resolver die Namensauflösung durchführt.
Frage: In einer Smartphone-App werden fremde Webseiten per In-App-Browsing dargestellt. Wer macht hier die Namensauflösung? Und wer erhält diese Daten?
Das hat folgende Konsequenzen:
- DNS over HTTPS schützt nur bei der Nutzung des World Wide Web. Alle anderen Programme nutzen den DNS-Resolver der in der IP-Konfiguration des Betriebssystems hinterlegt ist, oder es bedarf eines speziellen DoH-Clients.
- Die Namensauflösung mit DNS ist dann kein Bestandteil mehr der allgemeinen Infrastruktur, sondern wird zu einem App-spezifischen Dienst, der sich unter der Kontrolle des App-Anbieters befindet.
- Wenn die Namensauflösung in unterschiedlichen Programmen unterschiedlich implementiert und ans DNS angebunden sind, dann kann man als Anwender nicht erwarten, dass alle DNS-Informationen über verschiedene Apps und Clients hinweg konsistent sind. Es kann passieren, dass die Verbindung zu einem Dienst mit einem Programm funktioniert und mit einem anderen nicht. Und das liegt daran, weil das eine Programm den Domain-Namen auflösen kann und das andere nicht. Im schlimmsten Fall kann es zu einer Fragmentierung des Namensraums kommen.
Wenn ein Programm einen Dienst aufgrund einer fehlerhaften Namensauflösung nicht erreichen kann, dann wird die lokale Fehlersuche schwierig. Der Nutzer müsste sich dann mit seinem „DNS-Problem“, wenn er es als solches identifiziert, an den App-Anbieter wenden. Die Frage ist, ob der in der Lage ist, das Problem zu verstehen, sich dafür verantwortlich fühlt und dann auch lösen kann und will. Vermutlich nicht, weil der den DNS-Dienst eines großen Anbieters nutzen wird, bei dem er keinen Durchgriff hat.
Dabei geht es nicht zwangsläufig um Funktion, sondern um die Kontrolle der Daten.
Umgehung der Netz-internen Namensauflösung
Wenn Browser über DNS over HTTPS die Namensauflösung durchführen, dann werden sie das in der Regel mit einem externen Server tun und umgehen dabei in der Regel den internen DNS-Server im lokalen Netzwerk, der aber für die Namensauflösung lokaler Netzwerk-Dienste zuständig ist. Das heißt dann, dass mit dem Browser keine Verbindungen mehr ins Intranet möglich sind. Schließlich kennt der externe DNS-Server die IP-Adressen der Server im lokalen Netzwerk nicht. Im Prinzip ist kein Problem, außer wenn es zusätzlichen Support-Aufwand nach sich zieht, der vermeidbar wäre.
ODoH - Oblivious DNS over HTTPS
Oblivious DNS over HTTPS (ODoH) verbessert die Privatsphäre von DNS-Anfragen, indem es die IP-Adresse des Clients vom Inhalt der Anfrage trennt. Dazu wird der DNS-Request verschlüsselt über einen Proxy-Server zum DNS-Resolver geleitet, der sie entschlüsseln kann, ohne die IP-Adresse zu kennen.
Fazit
Wenn es darum geht, die Privatsphäre der Nutzer und die DNS-Kommunikation gegen Abhören oder Manipulation zu schützen, dann ist DNS over HTTPS eine ziemlich sichere und funktional gute Lösung. Außer in Firmen oder Organisationen, die für ihr internes Netzwerk einen eigenen DNS-Server für die internen Dienste betreiben. In Browsern, die fürs Intranet verwendet werdet sollen, lässt sich DNS over HTTPS deaktivieren.
- Die Schwierigkeit bei DNS over HTTPS ist, dass die Komplexität mehrere Größenordnungen größer ist als beim herkömmlichen DNS.
- Es besteht die Gefahr, dass die meisten DoH-Resolver sich auf wenige Anbieter konzentrieren, wodurch der DNS-Datenverkehr bei diesen Anbietern landet, wodurch der versprochene Datenschutz-Mehrwert verloren geht.
- Durch die Namensauflösung von DNS over HTTPS wird die Verantwortung der Namensauflösung an die Anbieter von Software, Apps und Browser übertragen, weshalb sich der Nutzer nicht mehr in jedem Fall für eine andere datenschutzfreudliche DNS-Lösung entscheiden kann.
Wenn man alle Vorteile und Nachteile gegeneinander aufwiegt, dann gibt es nur ein Szenario, bei dem DNS over HTTPS sinnvoll ist. Das ist dann der Fall, wenn man sich in einem Netzwerk befindet, dessen Betreiber man nicht vertraut und die Gefahr besteht, dass der DNS-Datenverkehr in dem Netzwerk abhört wird. Das trifft auch dann zu, wenn ein Nutzer sich vor dem Ausspionieren durch autoritäre Staaten, Geheimdienste und datenhungrige Konzerne schützt will.
Übersicht: DNS mit Privacy und Security
- DoT - DNS over TLS
- DoH - DNS over HTTPS
- DoQ - DNS over QUIC
- DNSSEC
Weitere verwandte Themen:
- DNS - Domain Name System
- DNS mit Privacy und Security
- Grundlagen der Netzwerk-Sicherheit
- HTTPS / HTTP Secure
- TCP/IP
Lernen mit Elektronik-Kompendium.de
Noch Fragen?
Bewertung und individuelles Feedback erhalten
Aussprache von englischen Fachbegriffen
Netzwerktechnik-Fibel
Alles was du über Netzwerke wissen musst.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Netzwerktechnik-Fibel
Alles was du über Netzwerke wissen musst.
Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.
Artikel-Sammlungen zum Thema Netzwerktechnik
Alles was du über Netzwerktechnik wissen solltest.
