Unbound vs. Hyperlocal-Root

Seit Ihrem Artikel "Selbstauskunft" betreibe ich einen eigenen DNS-Server mit Unbound unter Debian. Meine Frage: Welche Vor- oder Nachteile – vor allem in Bezug auf die Sicherheit – hat ein Betrieb von Unbound mit Hyperlocal-Root gegenüber der bestehenden Konfiguration mit DNS over TLS und Quad9 als Forwarder?

Der Hauptunterschied besteht darin, dass man mit DoT und Quad9 einen externen Resolver befragt. Die Anfragen, die Sie an Quad9 schicken, sind zwar per TLS (also technisch) gegen Manipulation und Mitlesen gesichert, nicht aber dagegen, dass der Resolver-Betreiber Ihre Anfragen protokolliert und auswertet. Quad9 sichert zwar zu, das nicht zu tun, in der Praxis lässt sich das aber nur schwer überprüfen, sodass Sie dem Resolver-Betreiber vertrauen müssen. Wenn Sie hingegen Ihren Resolver selbst betreiben (Unbound mit Hyperlocal-Root), dann entfällt dieser Punkt.

Der zweite und nicht unwesentliche Unterschied besteht darin, dass ein externer Resolver-Betreiber selbst für den Betrieb seines Resolvers verantwortlich ist. Wenn etwas schiefgeht, repariert er es in der Regel auch selbst. Wenn man einen DoT-Client wie Stubby verwendet, kann man diesen so konfigurieren, dass er mehr als einen Resolver befragt. Das verbessert zumindest die Ausfallsicherheit des DNS-Dienstes. Je nach Befragungsprofil kann das sogar den Privatsphärenschutz verbessern: Stubby kann ja seine Anfragen an mehrere Resolver streuen, sodass keiner davon ein komplettes Abbild Ihrer Bewegungen im Netz mitbekommt.

Wenn Sie Unbound mit einer eigenen Hyperlocal-Root betreiben, liegt auch die Administrationsarbeit inklusive der Caching-Optimierungen komplett bei Ihnen und die Ausfallsicherheit ist mit einem einzigen Resolver natürlich geringer. Aber Sie könnten ja auch mehr als eine Unbound-Instanz betreiben – alles eine Frage des Aufwands. (dz)