AdGuard Home verschlüsselt nicht
Ich habe mir Adguard Home installiert. Trotz verschlüsselnden DNS-Servern, steht im Anfrageprotokoll immer nur "einfaches DNS". Woran könnte das liegen?
Ihr Artikel zu Adguard Home in c’t 7/2021 hat mir so gut gefallen, dass ich mir den Adblocker gleich mal installiert habe. Besonders überzeugt hat mich das Versprechen, dass er für DNS-Abfragen die verschlüsselnden Protokolle DoT und DoH benutzen kann. Obwohl ich DNS-Server eingetragen habe, die diese beherrschen, steht im Anfrageprotokoll immer nur "einfaches DNS" – die DNS-Abfragen scheinen also nicht per TLS oder HTTPS verschlüsselt zu werden. Anscheinend muss ich mir noch ein Zertifikat etwa über Let’s Encrypt erstellen, damit das funktioniert. Oder habe ich etwas nicht verstanden?
AdGuard Home konfiguriert man normalerweise so, dass nur der zweite Teil der Strecke verschlüsselt wird – also der Verkehr vom AdGuard Home zum konfigurierten DNS-Resolver mit DoT- oder DoH-Funktionen.
Hingegen läuft auf dem ersten Teil der Strecke – von Ihren Netzwerkgeräten zum AdGuard Home – die DNS-Kommunikation unverschlüsselt ab und genau das steht auch im "Anfrageprotokoll" von AdGuard Home. Das ist nicht nur nicht besorgniserregend, sondern in den meisten Fällen sogar erwünscht, denn der Großteil der Netzwerkgeräte beherrscht keine DNS-Verschlüsselung.
Man könnte nun AdGuard Home mit Zertifikaten bestücken und so auch im Heimnetz verschlüsselte DNS-Kommunikation ermöglichen. Das könnten aber nur solche Geräte nutzen, auf denen Sie per Hand einen verschlüsselnden DNS-Client installieren, beispielsweise Stubby, das für Windows, Linux und macOS erhältlich ist. Dieser Aufwand lohnt aber nur, wenn man ein Netzwerk mit sehr hohen Sicherheitsanforderungen betreibt.
(dz)
