Mehr Datenschutz: DNS-Anfragen verschlüsseln oder verpacken?
DNS-Anfragen lassen sich leicht auslesen, nun versprechen DoH und DoT mehr Sicherheit. Wie sie sich unterscheiden, erklärt ein Artikel der aktuellen iX.
Seit Jahren ist bekannt, dass das Domain Name System (DNS) unsicher ist – Staat und Angreifer können Anfragen des Nutzers einfach überwachen und blockieren. Zwei Standards versuchen nun, dem in die Tage gekommenen DNS mehr Sicherheit zu spendieren: DoT und DoH. Monika Ermert erklärt in der aktuellen iX 7/2018 ihre Unterschiede.
DoT steht für DNS over Transport Layer Security. Das Verschlüsselungsprotokoll soll also die Verbindung zwischen dem System des Anwenders, genauer dem Stub Resolver, und dem DNS-Dienst absichern. Schon jetzt existieren hierfür 19 Test-Server und zwei größere Anbieter; Android verwendet neuerdings standardmäßig DoT, sofern der DNS-Server mit den verschlüsselten Anfragen umgehen kann. Allerdings gibt es bisher kaum Software für Windows, macOS oder Linux. Und DoT verwendet Port 853, also zieht der Standard Arbeit an den beteiligten Systemen nach sich.
DNS over HTTPS (DoH) läuft hingegen wie regulärer Web-Traffic auf Port 443. Hier liegt es an den Entwicklern der Anwendungen, insbesondere der Browser, den Standard zu implementieren. Google und Mozilla betreiben bereits einen zugehörigen Dienst und auch andere Test-Server stehen bereit. Wie Entwickler DoH in ihre Software integrieren können und ob ein neuer Standard das betagte DNS irgendwann ablöst, erfahren Interessierte im Artikel.
Siehe dazu auch:
- Internet: Experimentelles Internetprotokoll DNS over HTTPS, iX 7/2018, S. 96.
(fo)
