DNS-Leck: Browser ignorieren Windows-Konfiguration

Viele Browser und Anwendungen verschicken kritischen DNS-Verkehr ungeschützt am Betriebssystem vorbei, obwohl Windows diese Daten verschlüsseln soll.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen
, Collage c‘t

(Bild: Collage c‘t)

Lesezeit: 7 Min.
Von
Inhaltsverzeichnis
Mehr zu Domain Name System (DNS)

Wenn Sie möglichst sicher und privat surfen möchten, sollten Sie Ihre DNS-Anfragen verschlüsseln, denn diese sind ein kritischer Bestandteil Ihres Netzwerkverkehrs. Die Anfragen geben einen intimen Einblick in Ihr Surfverhalten, wenn sie ungeschützt sind. Darüber hinaus sind sie ein gefundenes Fressen für Angreifer: Sind DNS-Anfragen unverschlüsselt, können Dritte sie manipulieren, um Verkehr auf beliebige Server umzulenken.

Die meisten Betriebssysteme und Browser können daher den DNS-Verkehr seit einigen Jahren verschlüsseln. Es gibt sogar mehrere Methoden: Zu den verbreiteten gehört DNS-over-HTTPS (DoH), das die DNS-Kommunikation durch einen TLS-Tunnel zum Resolver schickt. Diesen Schutz können Sie ab Windows 10 in den Netzwerkeinstellungen mit wenigen Klicks einschalten. Doch eine kaum bekannte Automatik in Google Chrome und anderen Chromium-Browsern kann diese Einstellung unbemerkt unterlaufen, sodass der DNS-Verkehr der Browser trotzdem im Klartext durch die Leitung abfließt.

Das Problem fiel uns während detaillierter Analysen des Netzwerkverkehrs eines Testrechners auf. Obwohl in Windows-Einstellungen die DNS-Verschlüsselung eingeschaltet und die Option "Fallback auf Klartext" ausgeschlossen war, gingen ausgerechnet beim Surfen etliche DNS-Anfragen unverschlüsselt raus.

Das war die Leseprobe unseres heise-Plus-Artikels "DNS-Leck: Browser ignorieren Windows-Konfiguration". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.