Domain Name Service: Neue Kombination DoQ in der Buchstabensuppe

Eigentlich gibt es schon zwei starke Methoden, die die Privatsphäre von Surfern schützen. Nun schlagen IETF-Entwickler eine noch bessere vor.

In Pocket speichern vorlesen Druckansicht 63 Kommentare lesen
TLS und die Rauferei um das "richtige" Internet
Lesezeit: 5 Min.
Von
  • Monika Ermert
Inhaltsverzeichnis

Die Kommunikation fast aller Internet-Dienste beginnt mit der Namensauflösung der Zieldomain. Die dafür erforderlichen Anfragen der Nutzer und Antworten der Domain Name System Server (DNS-Server) laufen überwiegend unverschlüsselt, sodass Dritte einsehen können, wer welche Ziele im Web besucht. Die Internet Engineering Task Force (IETF) hat sich schon vor Längerem vorgenommen, diesen bedeutsamen Verkehr zu verschlüsseln und mit DNS-over-HTTPS (DoH) sowie DNS-over-TLS (DoT) bereits zwei sichere Verfahren auf den Weg gebracht. Beispielsweise hat Mozilla DoH im Webbrowser Firefox implementiert.

Nun melden sich Spezialisten zu Wort und bringen ein drittes IETF-Verfahren ins Spiel, DNS-over-Quic (DoQ). Die Methode setzt auf dem neuen, ursprünglich von Google initiierten Transportprotokoll Quick UDP Internet Connections auf (Quic). Die Namensauflösung würde damit automatisch von besserer Leistung und höherer Sicherheit profitieren, da Quic für das moderne Verschlüsselungsverfahren TLS 1.3 ausgelegt ist.

Schon jetzt laufen laut verschiedenen Messungen 7 bis 9 Prozent des Webverkehrs über Quic. Googles Chrome war der erste Browser, der das Protokoll nutzte, inzwischen gibt es auch für Firefox eine experimentelle Implementierung.

Als Vorzüge von Quic gelten das Multiplexing für parallele Anfragen und die Vermeidung des Head-of-Line-Blocking, bei dem eine blockierte Anfrage (etwa durch Paketverlust auf TCP-Ebene) auch die Abarbeitung nachfolgender Anfragen blockiert, die über denselben TCP-Stream geschickt werden. Quick vermeidet dieses Problem schon dadurch, dass es UDP-basiert arbeitet.

Die Version 1.0 des Quic-Transportprotokolls ist praktisch fertig. Daher sei jetzt die beste Gelegenheit, Quic auch den DNS-Transport beizubringen, empfiehlt Christian Huitema der IETF-Arbeitsgruppe "DNS Privacy" (DPRIVE). Der Gründer der Softwareschmiede Private Octopus legte dabei gemeinsam mit Sara Dickinson von Sinodun und Allison Mankin von Salesforce einen schnörkellosen Entwurf für DoQ vor. Bemerkenswert daran ist, dass Dickinson die Methode DNS-over-TLS bereits im Client Stubby implementiert und DNS-over-HTTPS für Stubby in Aussicht gestellt hat.

Die Autoren stellen bei ihrem DoQ-Vorschlag vor allem den Gewinn an Vertraulichkeit heraus. Weil TLS 1.3 in Quic eingebaut ist, wird es deutlich schwieriger für unbeteiligte Dritte, den DNS-Verkehr zu belauschen. Quic verbannt zudem noch mehr Metadaten vom Header in den verschlüsselten Body. Das Protokoll ähnelt in diesem Punkt DNS-over-TLS und spezifiziert auch die Authentifizierung der Domain Name Server. Glaubt man dem Entwurf, verbindet DoQ also die Vorteile von UDP und DNS über TLS/TCP.

Bisher spezifiziert DoQ lediglich die Verbindungen zwischen dem Stub-Resolver des Nutzers und dem DNS-Server des DNS-Providers (rekursiver Resolver). Die IETF plant zudem schon länger, auch das Teilstück der DNS-Kommunikation zwischen dem rekursivem Resolver und dem für eine Domain zuständigen Server zu verschlüsseln (autoritativer Nameserver). Das erfordert aber die Zusammenarbeit mit all den Nameserver-Betreibern weltweit, was zeitraubend ist und die Arbeiten an dieser DoT-Erweiterung bremst.

Man wolle diesen Arbeiten aber nicht vorgreifen, schreibt die DoQ-Gruppe. Dennoch gibt es gerade zu diesem Punkt viele Nachfragen. Per E-Mail teilte Huitema gegenüber heise online mit: "Das Interesse, DoQ zwischen dem rekursiven und autoritativen Server zu nutzen, ist da. Allerdings bedarf es dafür einer Methode zum Auffinden von DoQ-fähigen Nameservern."

Auf Verdacht einen Nameserver zuerst per DoQ anzusprechen, und im Fehlerfall die Anfrage via DoT oder klassischem DNS zu wiederholen, würde die DNS-Antworten unnötig verzögern, erläutert Huitema. Nur wenn vorher klar wäre, welche Nameserver per DoQ ansprechbar sind, böte DoQ eine "interessante Kombination aus Sicherheit und Leistung".

Könnte DoQ also am Ende das Kompromissprotokoll im Rennen zwischen DoT und DoH werden? "Schön wär‘s, aber wohl eher nicht", lautet die lakonische Antwort von Huitema dazu. DoQ sei in vieler Hinsicht DoT ähnlich, wobei Quic das Transportprotokoll TCP ersetzt. DoH setzt hingegen zurzeit noch mittelbar auf TCP, kann aber auf das fast fertige HTTP/3 umsatteln, also die IETF-Fortführung von Quic. So wird aus dem Kürzel DoH, das für DNS-over-HTTPS steht, das Kürzel DoH3, wenn DNS über HTTP/3 übertragen wird. Huitema meint, dass aus dem DoH-DoT-Rennen am Ende vielleicht einfach das Rennen DoQ versus DoH3 wird.

Dass er damit Recht behalten könnte, zeigten die ersten Diskussionen in den beiden mit Quic und DPRIVE betrauten Arbeitsgruppen. Apple-Entwickler Tommy Pauly etwa befand, dass Vorteile von DoQ gegenüber DoH3 fraglich seien. DoH3 sei praktischer, einfach weil sich DNS-over-HTTPS organisch auf HTTP/3 aufsetzen lässt. Demgegenüber warnen DNS-Experten, etwa Ralf Weber, Principle Architect bei Akamai in Frankfurt, vor der Verschiebung von DNS-Verkehr in Richtung HTTP. Das Webprotokoll sei mit seiner Extraschicht von Metadaten mit Blick auf den Datenschutz ein Alptraum. Das Rennen geht also wohl noch eine Weile weiter.

(dz)