DNSSEC beim Pi-hole

In der Weboberfläche vom Pi-hole gibt es unter Settings/DNS die Option "Use DNSSEC". Wieso benötige ich dann noch die in Ihrem Artikel "Doppelt verschlüsselt" beschriebenen Tools Stubby und DNSCrypt-Proxy auf dem Pi-hole, wenn der Pi-hole selber bereits DNSSEC unterstützt?

DNSSEC einerseits und DoH, DoT und DNSCrypt andererseits sind verschiedene Methoden, die die DNS-Information auf unterschiedlichen Teilstücken absichern. DNSSEC schützt die DNS-Information gegen Manipulation auf der Übertragungsstrecke und prüft, ob der Sender der DNS-Information vertrauenswürdig ist (genauer, der für eine Domain zuständige DNS-Server).

Aber DNSSEC verschlüsselt nicht, sondern signiert nur DNS-Antworten. Der Resolver, der die DNS-Information vom autoritativen DNS-Server einholt, sendet sie im Klartext zum anfragenden DNS-Client wie Ihrem Pi-hole weiter. Unter der DNS-Antwort, also etwa der IP-Adresse eines Webservers, steht die Signatur, anhand der der empfangende Client prüft, ob die Nachricht unverfälscht ist und ob der autoritative DNS-Server vertrauenswürdig ist.

Um nun das Mitlesen durch Dritte zu unterbinden, wurden Verschlüsselungsmethoden wie DoT, DoH oder DNSCrypt entwickelt. Diese verschlüsseln das gesamte DNS-Paket auf dem Teilstück vom DNS-Client zum Resolver. Pi-hole setzt auf Dnsmasq auf, das den DNS-Verkehr konzeptbedingt bisher nicht verschlüsseln kann. Um das zu kompensieren, kann man Pi-hole, wie im Artikel gezeigt, einen verschlüsselnden Resolver wie Stubby oder DNSCrypt-Proxy vorsetzen. (dz)