DNS-Dienst von Cloudflare klemmt, Fritzboxen reagieren mit Schluckauf

Bei Fritzbox-Nutzern, die zum Schutz ihrer Privatsphäre die verschlüsselte DNS-Kommunikation aktiviert haben und dafür einen DNS-Resolver von Cloudflare verwenden, kann aktuell der Internet-Zugang gestört sein.

Das Symptom: Geräte, die an solchen Fritzboxen angeschlossen sind und zur DNS-Auflösung die Fritzbox nutzen, können keine Ziele im Internet erreichen (Geräte, die einen anderen Resolver als den in der Fritzbox nutzen, haben kein derartiges Problem).

Der Auslöser: Der in der DNS-over-TLS-Konfiguration der Fritzbox eingetragene Resolver cloudflare-dns.com reagiert zurzeit nicht auf DNS-Anfragen. Bei manchen Fritzboxen scheitert dann die DNS-Auflösung komplett, auch wenn noch weitere Resolver eingetragen sind, die fehlerfrei funktionieren.

Ein Nutzer meldet, dass er das Problem durch Abschalten der Zertifikatsprüfung gelöst habe. Das verbessert zwar die Zuverlässigkeit des DNS-Dienstes, aber so kann die Fritzbox nicht sicherstellen, ob sie ihre DNS-Anfragen tatsächlich an die konfigurierten Resolver schickt (oder an einen, der nur vortäuscht, der konfigurierte zu sein). In Umgebungen mit geringen Anforderungen an die Sicherheit der DNS-Antworten kann man das machen. Ebensogut hilft dann die Funktion "Fallback auf unverschlüsselte Namensauflösung im Internet zulassen". Dann schaltet die Box automatisch auf herkömmliche DNS-Kommunikation im Klartext um, wenn die verschlüsselte Kommunikation aus welchem Grund auch immer scheitert.

Abhilfe: Wenn man weiterhin auf verschlüsselte und vertrauenswürdige DNS-Kommunikation wert legt, sollte man die Zertifikatsprüfung nicht abschalten und auch keinen Fallback auf unverschlüsselte DNS-Kommunikation erlauben. Dann kann man sich am einfachsten behelfen, indem man den aktuell stummen DNS-Resolver aus der Liste streicht. Danach sollte die DNS-Auflösung wieder reibungslos funktionieren. Unter Umständen braucht die Fritzbox noch einen Neustart, um sich wieder zu berappeln.

Cloudflares Problem dürfte nur von vorübergehender Natur sein. Wir haben das Unternehmen benachrichtigt und um Stellungnahme gebeten. Im Internet kursieren diverse Listen von öffentlich zugänglichen Resolvern, die man anstatt des Cloudflare-Resolvers eintragen kann. Empfehlenswert ist die Liste der DNS-Privacy-Entwickler, die an der Standardisierung der Technik arbeiten.

Schnelle Resolverprüfung

Wenn man später den Cloudflare-Resolver wieder eintragen will, empfiehlt es sich, ihn zunächst zu prüfen. Das geht beispielsweise mit dem OpenSSL-Befehl:

echo | openssl s_client -connect 'example.com:853'

Mit example.com ist die Domain des Resolvers gemeint, den man prüfen möchte (z. B. dns11.quad9.net), 853 ist die Portnummer, unter der DNS-over-TLS-Resolver normalerweise antworten. Wenn der Resolver antwortet, sollte der Befehl das Server-Zertifikat liefern. Andernfalls meldet OpenSSL nach einer Weile "operation timed out".

Das ist aber nur ein grober Verbindungstest auf TLS-Ebene und kein vollständiger Funktionstest. Linux-, BSD- und Mac-User können dafür das Tool kdig verwenden, um auch konkrete Domainnamen aufzulösen. kdig gehört zur Toolbox knot-dnsutils, die man mit gängigen Paket-Managern installieren kann (z. B. apt oder homebrew). So lässt sich testen, ob ein Resolver DNS-Anfragen auflöst:

kdig @example.com ct.de +tls

Mit example.com ist wiederum die Domain des Resolvers gemeint, den man prüfen möchte (z. B. cloudflare-dns.com). Anschließend folgt der Name einer Domain, den man vom Resolver auflösen lassen will (z. B. ct.de). Mit dem Schalter +tls stellt man ein, dass kdig TLS-verschlüsselt mit dem Resolver kommuniziert. Wenn der Resolver funktioniert, sollte er für ct.de die Antwort 193.99.144.80 liefern.

[Update]: 27.01.22, 10:13, Cloudflare teilt mit, dass die Domain cloudflare-dns.com nur für die Zertifikatsvalidierung verwendet wird. Zur Auflösung über DNS-over-TLS seien aussschließlich die Domains 1dot1dot1dot1.cloudflare-dns.com und one.one.one.one gedacht.

Wörtlich erklärte ein Cloudflare-Sprecher an: "Sollte die Auflösung zuvor zeitweise auch mit cloudflare-dns.com funktioniert haben, war dies nicht beabsichtigt und wir bedauern etwaige Unannehmlichkeiten einzelner Anwender in diesem Zusammenhang."

(dz)