DNS over HTTPS
DNS over HTTPS (DoH) ist ein Protokoll zur Durchführung einer DNS-Auflösung über das HTTPS-Protokoll. Das Ziel ist es, die Privatsphäre und Sicherheit der Benutzer zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird.[1] Neben der Verbesserung der Sicherheit sind weitere Ziele von DNS über HTTPS, die Leistung zu verbessern und DNS-basierte Zensurmaßnahmen zu verhindern. DNS over HTTPS wurde am 19. Oktober 2018 als RFC 8484 standardisiert.[2]
Seit März 2018 testen Google und Mozilla Versionen von DNS über HTTPS.[3][4]
Unterschiede zu anderen Protokollen
Standardmäßig werden DNS-Abfragen unverschlüsselt mit dem UDP-Protokoll übertragen. Für die Implementierung einer Verschlüsselung gibt es aktuell drei Optionen: DNS over HTTPS, DNS over TLS (DoT) und DNSCrypt. DNS over TLS schickt normale DNS-Anfragen über einen TLS-Tunnel, während DNS over HTTPS dafür eine HTTPS-Verbindung aufbaut. Durch Letzteres kann man – falls der DNS-Provider auf Port 443 auch eine Website anbietet – nicht sehen, ob das Paket eine DNS-Anfrage ist. Dafür ist DNS over TLS deutlich schneller. Die dritte Variante, DNSCrypt, bietet ebenfalls Verschlüsselung und Authentifizierung der DNS-Abfragen, basiert aber auf einem eigenen Protokoll, welches bislang nicht als Request for Comments (RFC) zur Standardisierung bei der Internet Engineering Task Force (IETF) vorgeschlagen wurde.[5][6] Eine weitere Option ist in Zukunft das Protokoll DNS over QUIC (DoQ), das gerade standardisiert wird.[7][8]
Implementierungen
Der Browser Mozilla Firefox enthält seit Version 60 die Option, DoH zu aktivieren.[9][10] Mozilla stellt in Zusammenarbeit mit Cloudflare einen DoH-Server bereit, der strenge Privatsphäre-Anforderungen erfüllen muss.[11]
Für Chrome gibt es seit Version 78 ebenfalls eine experimentelle Einstellung zur Nutzung von DoH.[12]
Unter Android gab es, anders als für DNS over TLS, bis Juli 2022 keine mitgelieferte Unterstützung für DNS over HTTPS auf Betriebssystemsebene. Diese wurde für Android ab Version 11 nachgereicht.[13]
Öffentliche DNS-Server
DoH-Server werden bereits von mehreren öffentlichen DNS-Providern angeboten,[14] unter anderem:[15]
Provider | Server IP-Adressen |
Hostname / Query-String-Basis (DoH-Adresse) |
Implementierung | Inhaltsblockierung | Eigenschaften |
---|---|---|---|---|---|
CleanBrowsing | IPv4: 185.228.168.168 185.228.168.169 IPv6: 2a0d:2a00:1:: 2a0d:2a00:2:: |
Verschiedene mit unterschiedlichen Filterstufen:[16]https://doh.cleanbrowsing.org/doh/security-filter/ https://doh.cleanbrowsing.org/doh/family-filter/ https://doh.cleanbrowsing.org/doh/adult-filter/
|
– | Inhalte für Erwachsene und weitere, gewählt via IP/DoH-Adresse[16][17] | DoH endpoint |
Cloudflare | IPv4: 1.1.1.1 1.0.0.1 IPv6: 2606:4700:4700::1111 2606:4700:4700::1001 |
https://cloudflare-dns.com/dns-query
|
IETF-Entwurf | Nein | DoH endpoint[18] |
Digitale Gesellschaft Schweiz | IPv4: 185.95.218.42 185.95.218.43 IPv6: 2a05:fc84::42 2a05:fc84::43 |
https://dns.digitale-gesellschaft.ch/dns-query
|
RFC 8484 | Nein | DoH endpoint[19] |
Google Public DNS | IPv4: 8.8.8.8 8.8.4.4 IPv6: 2001:4860:4860::8888 2001:4860:4860::8844 |
https://dns.google/dns-query
|
Google experimentell | Nein | DoH endpoint[20][21] |
Quad9 | IPv4: 9.9.9.9 149.112.112.112 IPv6: 2620:fe::fe 2620:fe::9 |
https://dns.quad9.net/dns-query
|
– | Nur bösartige Domains (Phishing, Schadprogramme etc.) werden blockiert[22] | DoH endpoint[23] |
Siehe auch
- DNS over TLS
- Domain Name System Security Extensions (DNSSEC)
- DNS-based Authentication of Named Entities (DANE)
- DNSCurve
Weblinks
- DNS Privacy Project: dnsprivacy.org
- Monika Ermert: Experimentelles Internetprotokoll DNS over HTTPS. heise.de
- Monika Ermert: IETF: DNS über HTTPS wird zum Standard. heise.de, 25. Juli 2018 .
- Fidler, et al.: DNS over HTTPS (DoH) Considerations for Operator Networks. ietf.org, 8. März 2019, abgerufen am 9. März 2019.
- Liste von DNS-over-HTTPS-Servern, -Werkzeugen und -Ressourcen auf GitHub
Einzelnachweise
- ↑ Richard Chirgwin: IETF protects privacy and helps net neutrality with DNS over HTTPS. The Register, 14. Dezember 2017, abgerufen am 26. Juli 2018.
- ↑ P. Hoffman, P. McManus: RFC 8484. – DNS Queries over HTTPS (DoH). [Errata: RFC 8484]. 19. Oktober 2018. (Internet Engineering Task Force [IETF] – englisch).
- ↑ DNS-over-HTTPS. Google Developers, abgerufen am 26. Juli 2018.
- ↑ Catalin Cimpanu: Mozilla Is Testing "DNS over HTTPS" Support in Firefox. BleepingComputer, 20. März 2018, abgerufen am 26. Juli 2018.
- ↑ Tenta DNS over TLS vs DNSCrypt. In: Tenta Browser Blog. Abgerufen am 5. August 2018.
- ↑ Home page of the DNSCrypt project [DNS security]. Abgerufen am 5. August 2018 (englisch).
- ↑ C. Huitema: Specification of DNS over Dedicated QUIC Connections. 7. März 2019, abgerufen am 22. Dezember 2019 (englisch).
- ↑ draft-huitema-quic-dnsoquic-07 - Specification of DNS over Dedicated QUIC Connections. Abgerufen am 22. Dezember 2019.
- ↑ Jürgen Schmidt, Carsten Strotmann: Private Auskunft – DNS mit Privacy und Security vor dem Durchbruch. In: Heise online. 22. Juni 2018. Abgerufen am 25. Juli 2018.
- ↑ Improving DNS Privacy in Firefox. 1. Juni 2018, abgerufen am 26. Juli 2018.
- ↑ Cloudflare Resolver for Firefox. Abgerufen am 25. Juli 2018.
- ↑ von Stefan Beiersmann am 23 Oktober 2019, 12:22 Uhr: Chrome 78: Google testet DNS-over-HTTPS. 23. Oktober 2019, abgerufen am 6. Dezember 2019 (deutsch).
- ↑ Matthew Maurer, Mike Yu: DNS-over-HTTP/3 in Android. 19. Juli 2022, abgerufen am 7. September 2022 (englisch).
- ↑ DNS over HTTPS Implementations. In: GitHub. 27. April 2018, abgerufen am 27. April 2018 (englisch, unofficial list of DoH servers, tools and other resources).
- ↑ DNS Security and Privacy. 27. April 2018, abgerufen am 27. März 2018.
- ↑ a b Encrypted DNS – DNS over HTTPS (DoH) Support. CleanBrowsing, abgerufen am 8. August 2021 (englisch).
- ↑ Filters – DNS Content Filtering. CleanBrowsing, abgerufen am 8. August 2021 (englisch).
- ↑ Making requests. Cloudflare, abgerufen am 8. August 2021 (englisch).
- ↑ Öffentliche DNS-over-TLS- und HTTPS-DNS-Resolver. 11. April 2019, abgerufen am 2. September 2019 (Schweizer Hochdeutsch).
- ↑ DNS-over-HTTPS (DoH) | Public DNS. Google, 22. Juli 2020, abgerufen am 8. August 2021 (englisch).
- ↑ Google Public DNS. Google, abgerufen am 8. August 2021 (englisch).
- ↑ Frequently Asked Questions. Quad9, abgerufen am 8. August 2021 (englisch).
- ↑ DoH with Quad9 DNS Servers. Quad9, 25. Juli 2019, abgerufen am 8. August 2021 (englisch).