Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

DNS-Client dig lernt DNS over HTTPS

Das Internet Systems Consortium (ISC) integriert DNS over HTTPS in seinen DNS-Client dig. Eine Entwicklerversion steht für Tests bereits zur Verfügung.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Schlüssel, Sicherheit, DNS, DNSSEC

(Bild: wk1003mike/Shutterstock.com)

Lesezeit: 3 Min.
iX Magazin
Von
  • Benjamin Pfister

Die Namensauflösung auf Basis von DNS gehört zu den wichtigsten Infrastrukturdiensten im Internet. Hierüber lassen sich DNS-Namen in IPv4- oder IPv6-Adressen sowie bei Reverse Lookups auch IPv4- und IPv6-Adressen in DNS-Namen auflösen. Der kommandozeilenbasierte DNS-Client dig (Domain Information Groper) prüft die Namensauflösung und arbeitete bislang unverschlüsselt. So führt eine Namensauflösung über „dig @8.8.8.8 www.heise.de. A“ zu einer unverschlüsselten Anfrage des A-Records für den vollqualifizierten Domänenname www.heise.de auf dem DNS-Server 8.8.8.8 von Google.

Seit geraumer Zeit gewährleisten verschlüsselte Protokolle wie DNS over TLS und DNS over HTTPS eine Transportverschlüsselung zwischen Client und Server. Bislang fehlte dig eine Unterstützung für beide Protokolle. In den Release Notes für die aktuell unter Entwicklungsstatus stehende BIND-Version 9.17.11 kündigt das Internet Systems Consortium (ISC) nun die erwartete DoH-Integration für dig an.

DNS over HTTPS führt zunächst unverschlüsseltes DNS durch, um über einen Forward-Lookup die IP-Adresse des DNS-Servers zu erhalten. Erst im Nachgang stellt der Client über eine transportverschlüsselte Verbindung über den TCP-Port 443 die eigentliche Anfrage. Insgesamt führt das zu einer leicht erhöhten Latenz beim initialen Verbindungsaufbau, wenn der Host nicht im DNS-Cache enthalten ist. Dies ist darin begründet, dass zuerst der UDP-basierte Lookup erfolgt, gefolgt vom Aufbau des TCP-Socket und dem Aufbau der TLS-Session mit dem eigentlichen Lookup in den Nutzdaten (im Payload).

Entwickler können bereits testen

Da die Deutsche Telekom in einem Test seit Anfang Februar 2021 einen DoH-Dienst unter der URL https://dns.telekom.de/dns-query bereitstellt, lässt sich die Entwicklerversion von dig in Kombination mit diesem Dienst testen:

dig @dns.telekom.de +https www.heise.de

Standardmäßig hängt dig /dns-query hinter dem angefragten DNS-Server an, sodass sich durch die Option +https und @dns.telekom.de die URL https://dns.telekom.de/dns-query ergibt.

Falls ein alternativer Pfad anstatt /dns-query zum Einsatz kommen soll, lässt sich dieser Wert über das Argument =<value> direkt hinter +https angeben, wobei man <value> durch den gewünschten Wert ersetzen muss. Als Standardport kommt wie gewohnt TCP/443 zum Einsatz. Als Request-Methode dient POST, anstatt des Arguments +https ließe sich entsprechend +https-post einsetzen. Über +https-get kann der Request alternativ jedoch auch GET verwenden.

(csc)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten