DNS over HTTPS

aus Wikipedia, der freien Enzyklopädie

DNS over HTTPS (DoH) ist ein Protokoll zur Durchführung einer DNS-Auflösung über das HTTPS-Protokoll. Das Ziel ist es, die Privatsphäre und Sicherheit der Benutzer zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird.[1] Neben der Verbesserung der Sicherheit sind weitere Ziele von DNS über HTTPS, die Leistung zu verbessern und DNS-basierte Zensurmaßnahmen zu verhindern. DNS over HTTPS wurde am 19. Oktober 2018 als RFC 8484 standardisiert.[2]

Seit März 2018 testen Google und Mozilla Versionen von DNS über HTTPS.[3][4]

Unterschiede zu anderen Protokollen

Standardmäßig werden DNS-Abfragen unverschlüsselt mit dem UDP-Protokoll übertragen. Für die Implementierung einer Verschlüsselung gibt es aktuell drei Optionen: DNS over HTTPS, DNS over TLS (DoT) und DNSCrypt. DNS over TLS schickt normale DNS-Anfragen über einen TLS-Tunnel, während DNS over HTTPS dafür eine HTTPS-Verbindung aufbaut. Durch Letzteres kann man – falls der DNS-Provider auf Port 443 auch eine Website anbietet – nicht sehen, ob das Paket eine DNS-Anfrage ist. Dafür ist DNS over TLS deutlich schneller. Die dritte Variante, DNSCrypt, bietet ebenfalls Verschlüsselung und Authentifizierung der DNS-Abfragen, basiert aber auf einem eigenen Protokoll, welches bislang nicht als Request for Comments (RFC) zur Standardisierung bei der Internet Engineering Task Force (IETF) vorgeschlagen wurde.[5][6] Eine weitere Option ist in Zukunft das Protokoll DNS over QUIC (DoQ), das gerade standardisiert wird.[7][8]

Implementierungen

Der Browser Mozilla Firefox enthält seit Version 60 die Option, DoH zu aktivieren.[9][10] Mozilla stellt in Zusammenarbeit mit Cloudflare einen DoH-Server bereit, der strenge Privatsphäre-Anforderungen erfüllen muss.[11]

Für Chrome gibt es seit Version 78 ebenfalls eine experimentelle Einstellung zur Nutzung von DoH.[12]

Unter Android gab es, anders als für DNS over TLS, bis Juli 2022 keine mitgelieferte Unterstützung für DNS over HTTPS auf Betriebssystemsebene. Diese wurde für Android ab Version 11 nachgereicht.[13]

Öffentliche DNS-Server

DoH-Server werden bereits von mehreren öffentlichen DNS-Providern angeboten,[14] unter anderem:[15]

Provider Server
IP-Adressen
Hostname / Query-String-Basis
(DoH-Adresse)
Implementierung Inhaltsblockierung Eigenschaften
CleanBrowsing IPv4:
185.228.168.168
185.228.168.169
IPv6:
2a0d:2a00:1::
2a0d:2a00:2::
Verschiedene mit unterschiedlichen Filterstufen:[16]
https://doh.cleanbrowsing.org/doh/security-filter/
https://doh.cleanbrowsing.org/doh/family-filter/
https://doh.cleanbrowsing.org/doh/adult-filter/
Inhalte für Erwachsene und weitere, gewählt via IP/DoH-Adresse[16][17] DoH endpoint
Cloudflare IPv4:
1.1.1.1
1.0.0.1
IPv6:
2606:4700:4700::1111
2606:4700:4700::1001
https://cloudflare-dns.com/dns-query IETF-Entwurf Nein DoH endpoint[18]
Digitale Gesellschaft Schweiz IPv4:
185.95.218.42
185.95.218.43
IPv6:
2a05:fc84::42
2a05:fc84::43
https://dns.digitale-gesellschaft.ch/dns-query RFC 8484 Nein DoH endpoint[19]
Google Public DNS IPv4:
8.8.8.8
8.8.4.4
IPv6:
2001:4860:4860::8888
2001:4860:4860::8844
https://dns.google/dns-query Google experimentell Nein DoH endpoint[20][21]
Quad9 IPv4:
9.9.9.9
149.112.112.112
IPv6:
2620:fe::fe
2620:fe::9
https://dns.quad9.net/dns-query Nur bösartige Domains (Phishing, Schadprogramme etc.) werden blockiert[22] DoH endpoint[23]

Siehe auch

Weblinks

Einzelnachweise

  1. Richard Chirgwin: IETF protects privacy and helps net neutrality with DNS over HTTPS. The Register, 14. Dezember 2017, abgerufen am 26. Juli 2018.
  2. P. Hoffman, P. McManus: RFC 8484. – DNS Queries over HTTPS (DoH). [Errata: RFC 8484]. 19. Oktober 2018. (Internet Engineering Task Force [IETF] – englisch).
  3. DNS-over-HTTPS. Google Developers, abgerufen am 26. Juli 2018.
  4. Catalin Cimpanu: Mozilla Is Testing "DNS over HTTPS" Support in Firefox. BleepingComputer, 20. März 2018, abgerufen am 26. Juli 2018.
  5. Tenta DNS over TLS vs DNSCrypt. In: Tenta Browser Blog. Abgerufen am 5. August 2018.
  6. Home page of the DNSCrypt project [DNS security]. Abgerufen am 5. August 2018 (englisch).
  7. C. Huitema: Specification of DNS over Dedicated QUIC Connections. 7. März 2019, abgerufen am 22. Dezember 2019 (englisch).
  8. draft-huitema-quic-dnsoquic-07 - Specification of DNS over Dedicated QUIC Connections. Abgerufen am 22. Dezember 2019.
  9. Jürgen Schmidt, Carsten Strotmann: Private Auskunft – DNS mit Privacy und Security vor dem Durchbruch. In: Heise online. 22. Juni 2018. Abgerufen am 25. Juli 2018.
  10. Improving DNS Privacy in Firefox. 1. Juni 2018, abgerufen am 26. Juli 2018.
  11. Cloudflare Resolver for Firefox. Abgerufen am 25. Juli 2018.
  12. von Stefan Beiersmann am 23 Oktober 2019, 12:22 Uhr: Chrome 78: Google testet DNS-over-HTTPS. 23. Oktober 2019, abgerufen am 6. Dezember 2019 (deutsch).
  13. Matthew Maurer, Mike Yu: DNS-over-HTTP/3 in Android. 19. Juli 2022, abgerufen am 7. September 2022 (englisch).
  14. DNS over HTTPS Implementations. In: GitHub. 27. April 2018, abgerufen am 27. April 2018 (englisch, unofficial list of DoH servers, tools and other resources).
  15. DNS Security and Privacy. 27. April 2018, abgerufen am 27. März 2018.
  16. a b Encrypted DNS – DNS over HTTPS (DoH) Support. CleanBrowsing, abgerufen am 8. August 2021 (englisch).
  17. Filters – DNS Content Filtering. CleanBrowsing, abgerufen am 8. August 2021 (englisch).
  18. Making requests. Cloudflare, abgerufen am 8. August 2021 (englisch).
  19. Öffentliche DNS-over-TLS- und HTTPS-DNS-Resolver. 11. April 2019, abgerufen am 2. September 2019 (Schweizer Hochdeutsch).
  20. DNS-over-HTTPS (DoH) | Public DNS. Google, 22. Juli 2020, abgerufen am 8. August 2021 (englisch).
  21. Google Public DNS. Google, abgerufen am 8. August 2021 (englisch).
  22. Frequently Asked Questions. Quad9, abgerufen am 8. August 2021 (englisch).
  23. DoH with Quad9 DNS Servers. Quad9, 25. Juli 2019, abgerufen am 8. August 2021 (englisch).