DNS über HTTPS: IETF möchte standardisieren

14. August 2018

IT-Security

von PSW GROUP Redaktion

DNS über https — © jackykids - Fotolia.com

Schon seit Jahren ist bekannt, dass sich DNS-Anfragen leicht auslesen lassen. Mit DoH und DoT soll mehr Sicherheit einziehen; die IETF (Internet Engineering Task Force) möchte die neue DoH-Spezifikation fertigstellen. Jedoch regt sich Widerstand gegen diese geplante Zentralisierung.

DoT und DoH – was bedeutet das?

Dass das DNS (Domain Name System) unsicher ist, ist bereits seit Jahren bekannt. Anfragen eines Nutzers können sehr einfach sowohl überwacht als auch blockiert werden. Um dem DNS mehr Sicherheit zu spendieren, gibt es zwei Lösungsansätze: DoT sowie DoH.

DoT („DNS over Transport Layer Security“) ist ein Verschlüsselungsprotokoll zum Absichern der Verbindung zwischen dem Anwender-System und dem DNS-Dienst. Android setzt beispielsweise standardmäßig auf DoT. Unter Windows, Linux und macOS existiert jedoch bislang kaum Software. Unter Verwendung von Port 853 ist davon auszugehen, dass DoT noch diverse Arbeiten nach sich zieht.

DoH („DNS over HTTPS“) hingegen nutzt – wie der reguläre Webtraffic – Port 443. Anwendungs- bzw. insbesondere Browserentwickler sind gefragt, den Standard zu implementieren.

Details zu DoT und DoH verrät Ihnen dieser ausführliche c’t-Artikel sowie der Artikel „DNS mit Privacy und Security vor dem Durchbruch“.

IETF möchte DoH standardisieren

Die Browser-Entwickler und Content Delivery Netze möchten DNS also einpacken und absichern. Die aktuellen DoH-Spezifikationen sind praktisch bereits fertig, jedoch kann es noch bis in den Herbst dauern, bis DoH offiziell von der IETF zum Standard verabschiedet wird. Die großen Browser-Hersteller wie Google und Mozilla implementieren die Technologie bereits, womit klassische DNS-Resolver an den Rand gedrängt werden könnten.

Bis DoH offizieller Standard werden kann, muss jedoch geklärt werden, wie DoH weiter genutzt werden soll: dezentral oder zentralisiert? Mozilla war bereits so fix und hat DoH mal eben in Firefox implementiert. Weiter kündigte der Webriese an, sämtliche DNS-Anfragen an die Cloudflare-DoH-Server senden zu wollen.

Klar: Durch die HTTPS-Verschlüsselung wird das Mithören verhindert, die Vertraulichkeit steigt. Allerdings werden komplette Surfprofile bei einem US-amerikanischen Konzern abgeliefert. Um die Vertraulichkeit zu wahren, ließ sich Mozilla per Vertrag zusichern, dass Cloudflare sämtliche Mozilla-Anfragen umgehend verwirft. Das Konzept darf dennoch kritisch diskutiert werden. Kritiker befürchten, dass Namensauflösungen bald komplett in den Händen von Großkonzernen sein könnten.

Dezentrales DoH doch der bessere Weg?

Auch eine dezentrale Namensauflösung wäre mit DoH denkbar. Jeder Webserver stellt dann die DNS-Informationen bereit; er selbst bezieht sie über das herkömmliche DNS/DNSSEC. Ruft dann ein Server eine Website via HTTPS auf, können alle IP-Adressen von dem referenzierten Server mitgeliefert werden. Den voreingestellten DNS-Server braucht der Browser dann nur noch einmal zum Start einer Surfsession für den ersten Server.

Riesiger Vorteil: die Privatsphäre bleibt gewährleistet, denn der DoH-Server-Betreiber bekommt keinerlei Zusatzinformationen darüber, welche DNS-Informationen der Client wirklich verwendet.

IETF diskutiert noch

Zentrales oder dezentrales DoH? Die IETF steht mit ihren Diskussionen noch ganz am Anfang. Leider, denn so steigt die Gefahr, dass Web-Vorreiter wie Mozilla mit Cloudflare oder auch Google mit anderen Lösungen zentralisierte DoH-Konzepte umsetzen, noch bevor die Entscheidung zum dezentralen DoH fallen kann.