Privatsphärenschutz: Verschlüsselte Domainanfragen auf dem Vormarsch

Einer Analyse von chinesischen Forschern zufolge nimmt der verschlüsselte DNS-Verkehr zu. Zugleich sinkt bei verschlüsselten DNS-Anfragen die Fehlerrate.

In Pocket speichern vorlesen Druckansicht 110 Kommentare lesen
Privatsphärenschutz: Verschlüsselte Domainanfragen auf dem Vormarsch

Laut befunden einer Forschungsgruppe nimmt der Anteil an verschlüsselten DNS-Anfragen (DNS-over-Encryption, DoE) seit einige Zeit stetig zu. Innerhalb weniger Jahre sind zahlreiche Clients und Server entwickelt worden, und die Industrie setzt sie bereits ein.

(Bild: IETF)

Lesezeit: 8 Min.
Von
  • Monika Ermert
Inhaltsverzeichnis

Noch läuft die Auflösung von Domainnamen zu IP-Adressen weitgehend unverschlüsselt ab. So ermöglicht sie unerwünschten privaten oder staatlichen Schnüfflern eine leichte Protokollierung von Webseiten, die Internetnutzer ansteuern. Doch das weltweit verteilte Domain Name System (DNS), welches menschenlesbare Domainnamen zu maschinenlesbaren IP-Adressen auflöst, lässt sich auch verschlüsselt befragen.

Dafür kann man seit langem das proprietäre Protokoll DNSCrypt verwenden oder in jüngerer Zeit auch DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH). Im c't-Artikel "Auskunft abgedichtet – So schützt DNS-Kommunikation Ihre Privatsphäre" spielen wir die Einrichtung von passenden Clients für Linux, macOS und Windows durch.

DNSCrypt war bisher kein großer Erfolg beschieden. Doch die Verbreitung der beiden jüngeren Protokolle, die die Internet Engineering Task Force (IETF) spezifiziert hat, nahm zuletzt merklich zu. Das berichtete Lu Chaoyi von der Tshinghua University beim Treffen der Internet Research Task Force (IRTF), der Forschungsschwester der IETF. In einer groß angelegten Studie haben die Forscher die Zunahme verschlüsselter Verbindungen dokumentiert. Wie erwartet, dauert die Auflösung von Domainnamen zu IP-Adressen bei verschlüsselter Kommunikation ein paar Millisekunden mehr. Auf den ersten Blick unerwartet war jedoch der Befund, dass bei verschlüsselten Anfragen weniger Fehlermeldungen auftreten.

DoT hat die IETF bereits 2016 standardisiert (RFC 8094). 2018 zog Mozilla mit der Standardisierung des von Google bereits eingesetzten DoH nach (RFC 8484). Seither konkurrieren die beiden Methoden miteinander und Fachleute treiben die Entwicklung beider Techniken intensiv voran. Die Forschergruppe rund um Lu hat gemessen, wie sich DoT und DoH in den vergangenen beiden Jahren im Netz verbreitet haben.

Demnach rangieren DoT-Anfragen noch weit hinter unverschlüsselter DNS-Kommunikation. Der Klartextanteil am DNS-Verkehr sei zurzeit "mehrere 100 bis 1000fach" höher. Die DoT-Kurve zeigt allerdings nach oben. Einen ersten Sprung für DoT verzeichnet die Studie im Mai 2018, als etwa bei Cloudflare pro Monat erstmals 104 DNS-Anfragen via DoT eingingen. Nicht überraschend ziehen laut der Statistik große Anbieter wie Cloudflare die meisten DoT-verschlüsselten Anfragen an.

Dass das Interesse an DoT unter Diensteanbietern und Providern groß ist, zeigt auch die wachsende Zahl an DNS-Resolvern, die DoT-verschlüsselt kommunizieren. Zwischen Mai 2019 und Juli 2020 nahm deren Zahl von rund 2000 auf 7800 zu. Diese Zahlen lassen sich leicht im Internet-Verkehr erkennen, weil DoT normalerweise den eigenen TCP-Port 853 verwendet, während Klartext-DNS hauptsächlich den UDP-Port 53 nutzt.

Das DoH-Protokoll verwendet jedoch den HTTPS-Port 443, sodass der zugehörige Verkehr nicht ohne Weiteres vom Webverkehr zu unterscheiden ist. Daher haben die DNS-Kartographen zu Tricks gegriffen: Sie untersuchten große, eingekaufte HTTPS-Datensätze nach Schlüsselwörtern in den Paketheadern, beispielsweise nach "dnsquery". Aus diesen Zahlen geht hervor, dass der Großteil der DoH-Anfragen wiederum bei den großen Resolver-Betreibern Google und Cloudflare aufläuft.

Für Googles Open-DNS notierten Lu und seine Kollegen 107 monatliche DNS-Anfragen. Für Mozilla, dessen Firefox-Browser bei US-amerikanischen Nutzern schon in der Voreinstellung auf Cloudflare-Resolver zugreift, wurden 105 Anfragen verzeichnet. Aber auch das kalifornische CleanBrowsing, das sich an sicherheitsbewusste Eltern richtet, erreicht 103 DNS-Abfragen pro Monat. Insgesamt gibt es deutlich weniger Anbieter von DoH-Resolvern als von DoT-Resolvern. DoH bieten weltweit nur etwas über 50 Provider an, gegenüber lediglich 17 im Jahr 2019.

Bei vielen kleineren DoT-Resolvern, die zusammen auf einen Marktanteil von 28 Prozent kommen, diagnostizierten die Forscher diverse Fehlkonfigurationen. 70 Prozent davon gehen auf selbstsignierte TLS-Zertifikate zurück. Generell lassen sich natürlich auch mit selbstsignierten Zertifikaten übliche TLS-Tunnel aufbauen. Der Einsatz ist aber mit zwei Nachteilen behaftet: Nutzer müssen deren Verwendung grundsätzlich per Ausnahmeregel genehmigen, andernfalls scheitert der Verbindungsaufbau. Schwerer wiegt, dass Nutzer bei selbstsignierten Zertifikaten nur schwer überprüfen können, ob ihr Client tatsächlich mit dem Server kommuniziert, den sie konfiguriert haben. Hingegen kann ein von einer Certificate Authority signiertes Zertifikat automatisch authentifiziert werden und die CA hat auch die Mittel, um zu verifizieren, dass ein ausgestelltes Zertifikat tatsächlich zur angegebenen Domain und dem darüber erreichbaren Server gehört. Über Innitiativen wie Let's Encrypt kann man solche Zertifikate heutzutage leicht gratis beschaffen.

Nur ein kleiner Teil der analysierten Zertifikate war abgelaufen und somit ungültig. Dennoch geben die Forscher dem verschlüsselten DNS gute Noten in Bezug auf Erreichbarkeit und Antwortgeschwindigkeit der Resolver. Gegenüber der UDP-basierten Technik dauert es bei verschlüsselten Anfragen zwar wie erwartet länger, bis ein Resolver eine Domainanfrage beantwortet, aber die Latenz nimmt dabei nur um wenige Millisekunden zu.

Auf den ersten Blick überrascht aber, dass DoT und DoH hinsichtlich der Zuverlässigkeit besser abschneiden als unverschlüsselte DNS-Anfragen. Bei Cloudflares Resolvern verzeichneten die Forscher nur 1,2 Prozent fehlgeschlagene DNS-Anfragen via DoT gegenüber 16,5 Prozent bei klassischem DNS. Ohne ein spezielles Problem von Cloudflares Resolver-Netz könnte die Fehlerrate bei den verschlüsselten Verbindungen sogar noch niedriger sein, meinte Lu. Cloudflare-Resolver werden weltweit unter der IPv4-Adresse 1.1.1.1 angesprochen. Diese Adresse wird aber noch von diversen anderen Firmen unberechtigterweise genutzt, sodass nicht jede Anfrage tatsächlich bis zu den Resolvern durchdringt.

Die deutlich höhere Fehlerrate bei unverschlüsseltem DNS-Verkehr dürfte hingegen dem verzugsfreien, aber auch quittungslosen UDP-Transport geschuldet sein: Bei herkömmlichem, UDP-basierten Transport, senden die Clients ihre DNS-Anfragen ohne Fehlerkorrektur ab. Wenn dann auf der Strecke zum Resolver der eine oder andere Backbone-Router überlastet ist, verwirft er überschüssige Pakete kommentarlos, sodass diese nie am Ziel ankommen. Die DoT-basierten DNS-Anfragen setzen hingegen auf dem fehlerkorrigierenden TCP auf. Ist eine TLS-Verbindung erstmal aufgebaut, gewährleistet das darunterliegende TCP, dass Pakete bei Übertragungsfehlern umgehend erneut gesendet werden. Es dauert dann zwar ein bißchen länger, aber die DNS-Antwort kommt schließlich doch beim anfragenden Client an.

Ein weiterer Vorteil der verschlüsselten Übertragungen liegt darin, dass Umleitungen durch Dritte weit aufwendiger sind – dafür müssen Angreifer die Domain des verschlüsselnden Resolvers unter ihre Kontrolle bringen. Das gilt sowohl für DoT als auch für DoH.

Die meisten Staaten lassen Anbieter von verschlüsselnden DNS-Resolvern gewähren, sodass Nutzer solche Dienste nach Gutdünken verwenden können. Für einige Staaten stellt die unverschlüsselte DNS-Kommunikation aber einen Eckpfeiler ihrer Internet-Kontrolle dar. Entsprechend blockieren deren große Firewalls den verschlüsselten DNS-Verkehr, also etwa Anfragen an Googles offene DoH-Resolver. Dabei kehrt sich das Verhältnis zwischen verschlüsselten und unverschlüsselten DNS-Anfragen um. DoH-Anfragen an Googles Resolver, die normalerweise unter der IPv4-Adresse 8.8.8.8 zu erreichen sind, scheitern in China zu 99 Prozent. Klartext-DNS-Anfragen via Google lassen die chinesischen Zensoren hingegen größtenteils durch.

Das Fazit, das die Forscher ziehen, lautet: DNS-Entwickler und -Anwender sind prinzipiell auf dem richtigen Weg zu mehr Vertraulichkeit. Die Zukunft sehen sie optimistisch: Schwachpunkte, etwa bei der Konfiguration der Resolver und auch technische Kinderkrankheiten lassen sich beheben.

Zur Messemethode findet sich hier ein ausführlicheres Papier.

(jk)