Die Vorteile der schnellen DNS-Verschlüsselung DoQ
Die Internet Engineering Task Force hat mehrere DNS-Verschlüsselungen auf den Weg gebracht. Das jetzt spezifizierte DoQ setzt an, alle anderen zu überholen.
Die Zeit der klassischen, also unverschlüsselten Kommunikation zum Auflösen von Domainnamen zu IP-Adressen nähert sich dem Ende. Mitte Mai 2022 hat die Internet Engineering Task Force (IETF) die Spezifikation für DNS-over-Quic (DoQ) verabschiedet (RFC 9250), das den DNS-Verkehr im Internet und in privaten Netzwerken vor unerwünschten Mitlesern schützt.
Sechs Jahre zuvor hatte die IETF bereits DNS-over-TLS (DoT) auf den Weg gebracht, später noch DNS-over-HTTPS (DoH) [14] [14]und Oblivious DoH (ODoH) [15] [15]. Zusammen mit proprietären Methoden wie DNSCrypt gibt es inzwischen viele Verschlüsselungen, die den DNS-Verkehr gegen Mitlesen und Manipulieren schützen. Alle haben Vor- und Nachteile, sodass die Auswahl nicht leicht fällt, aber das für Anwender wichtigste Kriterium ist die Geschwindigkeit.
Der Grund leuchtet schnell ein: Moderne Webseiten bestehen aus einer Vielzahl von Elementen, die Browser von unterschiedlichen Webservern laden. Jeden dieser Webserver muss ein Browser anhand dessen IP-Adresse ansprechen und dafür ist je eine Auflösung des Domainnamens zur Adresse erforderlich. Eine einzelne DNS-Auflösung von beispielsweise 100 Millisekunden Länge fällt nicht auf. Aber wenn fünfzig erforderlich sind, summiert sich das und wird spürbar. Je weiter entfernt – netzwerktechnisch – der Resolver und die einzelnen Webserver stehen, desto länger dauert es, bis die Webseite vollständig aufgebaut ist.
URL dieses Artikels:
https://www.heise.de/-7147576
Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/Kryptografie-Riesige-Primzahlen-fuer-sichere-Verschluesselungen-finden-7370508.html
[2] https://www.heise.de/ratgeber/Tipps-zur-Optimierung-Ihres-SSH-Workflows-7272695.html
[3] https://www.heise.de/hintergrund/Manuell-entschluesseln-QR-Codes-per-Hand-dekodieren-ohne-technische-Hilfsmittel-7195658.html
[4] https://www.heise.de/hintergrund/Warum-viele-Datenspeicher-mit-Hardwareverschluesselung-zu-wenig-Schutz-bieten-7164070.html
[5] https://www.heise.de/hintergrund/Die-Vorteile-der-schnellen-DNS-Verschluesselung-DoQ-7147576.html
[6] https://www.heise.de/hintergrund/Wie-DNS-Multi-Signing-die-Internet-Sicherheit-verbessert-7102779.html
[7] https://www.heise.de/hintergrund/RSA-Verschluesselung-im-Ueberblick-So-funktioniert-das-asymmetrische-Verfahren-6624515.html
[8] https://www.heise.de/hintergrund/Briefe-von-Kaiser-Maximilian-II-mit-Kryptotools-entschluesselt-6338054.html
[9] https://www.heise.de/ratgeber/Moderne-Kryptografie-ausprobieren-und-verstehen-mit-CrypTool-2-6129885.html
[10] https://www.heise.de/hintergrund/Wovor-ein-Virtual-Private-Network-schuetzt-und-wovor-nicht-6159454.html
[11] https://www.heise.de/hintergrund/Sichere-Kommunikation-Symmetrische-und-asymmetrische-Verschluesselung-5077465.html
[12] https://www.heise.de/ratgeber/DNS-Verschluesselung-Raspi-mit-DNS-Filter-fuer-Fritzbox-Co-5037806.html
[13] https://www.heise.de/ratgeber/IoT-Hacking-Firmware-und-Netzwerksicherheit-verbessern-5025628.html
[14] https://www.heise.de/select/ct/2019/07/seite-50
[15] https://www.heise.de/select/ct/2021/21/seite-106
Copyright © 2022 Heise Medien