„DNS over TLS“ – Versionsunterschied

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Versionsgeschichte interaktiv durchsuchen
[gesichtete Version][gesichtete Version]
← Zum vorherigen Versionsunterschied
Inhalt gelöscht Inhalt hinzugefügt
VisuellWikitext
K →‎Öffentliche DNS-Server: IPv4-Adresse korrigiert: siehe https://cleanbrowsing.org/help/docs/dnsovertls/
Keine Bearbeitungszusammenfassung
Markierungen: Mobile Bearbeitung Mobile Web-Bearbeitung Erweiterte mobile Bearbeitung
 
(32 dazwischenliegende Versionen von 15 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{| class="wikitable float-right"
{| class="wikitable float-right"
|+ style="background:#C0C0FF;"| DoT (DNS over TLS)
|-
! colspan="2" style="background:#C0C0FF;"| DoT (DNS over TLS)
|-
|-
| '''Familie:'''
| '''Familie:'''
Zeile 15: Zeile 14:
|-
|-
| '''Standards:'''
| '''Standards:'''
| RFC 7858 (2016)<br /><hr /> RFC 8310 (2018)
| <nowiki>RFC&nbsp;7858</nowiki> (2016)<ref name="RFC7858" />
<hr />
<nowiki>RFC&nbsp;8310</nowiki> (2018)<ref>{{RFC-Internet |RFC=8310 |Titel=Usage Profiles for DNS over TLS and DNS over DTLS |Datum=2018-03}}</ref>
|}
|}


'''DNS over TLS''' ('''DoT''') ist ein Protokoll, mit dem [[Domain Name System|DNS]]-Abfragen, d.&nbsp;h. vor allem Abfragen zur Auflösung von [[Hostname]]n in [[IP-Adresse]]n und umgekehrt, über das [[Transport Layer Security|Transport-Layer-Security-Protokoll]] verschlüsselt übertragen werden. Es handelt sich um einen von der [[Internet Engineering Task Force]] vorgeschlagenen [[Internetstandard#Vorgeschlagener Standard|Standard]], RFC 7858.<ref>{{RFC-Internet |Autor=Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman |RFC=7858 |Titel=Specification for DNS over Transport Layer Security (TLS) |Datum=2016-05}}</ref>
'''DNS over TLS''' ('''DoT''') ist ein Protokoll, mit dem [[Domain Name System|DNS]]-Abfragen, d.&nbsp;h. vor allem Abfragen zur Auflösung von [[Hostname]]n in [[IP-Adresse]]n und umgekehrt, über das [[Transport Layer Security|Transport-Layer-Security-Protokoll]] verschlüsselt übertragen werden. Es handelt sich um einen von der [[Internet Engineering Task Force]] vorgeschlagenen [[Internetstandard#Vorgeschlagener Standard|Standard]], <nowiki>RFC&nbsp;7858</nowiki>.<ref name="RFC7858" />


== Protokoll ==
== Protokoll ==
Bei DNS over TLS werden DNS-Anfragen und Antworten über eine mit TLS gesicherte Verbindung übertragen, die zwischen dem [[Client]] wie bspw. dem [[Webbrowser]] und dem [[Server]] des DNS-Anbieters aufgebaut wird. TLS (Transport Layer Security, weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer SSL) ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Der für DNS over TLS zum Verbindungsaufbau von der IETF standardisierte [[Port (Protokoll)|Port]] ist 853.<ref>{{RFC-Internet |Autor=Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman |RFC=7858 |Titel=Specification for DNS over Transport Layer Security (TLS) |Abschnitt=3 |Abschnittstitel=Establishing and Managing DNS-over-TLS Sessions |Datum=2016-05}}</ref>
Bei DNS over TLS werden DNS-Anfragen und -Antworten über eine mit TLS gesicherte Verbindung übertragen, die zwischen dem [[Client]] wie bspw. dem [[Webbrowser]] und dem [[Server]] des DNS-Anbieters aufgebaut wird. TLS (Transport Layer Security, weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer SSL) ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Der für DNS over TLS zum Verbindungsaufbau von der IETF standardisierte [[Port (Protokoll)|Port]] ist 853.<ref>{{RFC-Internet |Autor=Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman |RFC=7858 |Titel=Specification for DNS over Transport Layer Security (TLS) |Abschnitt=3 |Abschnittstitel=Establishing and Managing DNS-over-TLS Sessions |Datum=2016-05}}</ref>


== Sicherheit ==
== Sicherheit ==
Die DNS-Abfrage ist in diesem Fall über das Verschlüsselungsprotokoll Transport Layer Security (TLS) gesichert und –&nbsp;im Gegensatz zum ungesicherten DNS&nbsp;– gegen Ausspähung und Manipulation durch einen [[Man-in-the-Middle-Angriff]] geschützt. Dadurch soll sowohl die Privatsphäre der Anwender vor Lauschern geschützt als auch die Einschleusung manipulierter DNS-Informationen verhindert werden. Zudem sollen damit [[Denial of Service|Denial-of-Service-Attacken]] erschwert werden.<ref>[https://www.heise.de/ct/ausgabe/2018-14-DNS-mit-Privacy-und-Security-vor-dem-Durchbruch-4079547.html DNS mit Privacy und Security vor dem Durchbruch] [[heise.de]]</ref>
Die DNS-Abfrage ist in diesem Fall über das Verschlüsselungsprotokoll Transport Layer Security (TLS) gesichert und –&nbsp;im Gegensatz zum ungesicherten DNS&nbsp;– gegen Ausspähung und Manipulation durch einen [[Man-in-the-Middle-Angriff]] geschützt. Dadurch soll sowohl die Privatsphäre der Anwender vor Lauschern geschützt als auch die Einschleusung manipulierter DNS-Informationen verhindert werden. Zudem sollen damit [[Denial of Service|Denial-of-Service-Attacken]] erschwert werden.<ref>[https://www.heise.de/ct/ausgabe/2018-14-DNS-mit-Privacy-und-Security-vor-dem-Durchbruch-4079547.html ''DNS mit Privacy und Security vor dem Durchbruch''.] [[heise.de]]</ref>


== Implementierungen ==
== Implementierungen ==
Auf Client-Seite wird DNS over TLS von Android ab [[Android (Betriebssystem)#Versionen|Android P]] ohne Zusatzprogramme vom Betriebssystem direkt unterstützt.<ref>{{Internetquelle |autor=Erik Kline, Ben Schwartz |url=https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html |titel=DNS over TLS support in Android P Developer Preview |werk=Android Developers Blog |datum=2018-04-13 |abruf=2018-07-30}}</ref> Dabei erlaubt das Android Pie dem Nutzer, den bevorzugten DoT-Server explizit in den Einstellungen einzutragen. Das Betriebssystem Windows hat z.&nbsp;Z. keinen<ref>{{Internetquelle |url=https://techcommunity.microsoft.com/t5/networking-blog/windows-will-improve-user-privacy-with-dns-over-https/ba-p/1014229 |titel=Windows will improve user privacy with DNS over HTTPS |datum=2019-11-18 |abruf=2020-10-16 |sprache=en}}</ref> eigenen Support für DoT, weswegen hier auf lokale DNS-Resolver gesetzt werden muss, die die DNS-Anfragen mittels dem [[Localhost]] zuerst intern auf dem Client umleiten und dann zu den entsprechenden öffentlichen Servern weiterleiten. Auf Server-Seite wird es von verschiedenen Programmen unterstützt. So wird es in DNSDist von [[PowerDNS]] in der aktuellen Version 1.3.0. unterstützt.<ref name="DNSDist DNS over TLS">{{Internetquelle |url=https://dnsdist.org/guides/dns-over-tls.html |titel=DNS-over-TLS |sprache=en |abruf=2018-07-31}}</ref> [[Name Server Daemon]] unterstützt DoT seit Version 4.2.<ref>{{Internetquelle |url=https://nlnetlabs.nl/news/2019/Jun/11/nsd-4.2.0-released/ |titel=News - NSD 4.2.0 released |abruf=2019-10-11 |sprache=en}}</ref> Bei [[BIND]] ist es in Kombination mit dem Tool [[stunnel]] möglich, DNS over TLS zu verwenden.<ref>{{cite web|title=Bind - DNS over TLS|url=https://kb.isc.org/article/AA-01386/0/DNS-over-TLS.html}}</ref> Technitium DNS Servers hat bekannt gegeben, dass sie DNS over TLS seit Version 1.3 unterstützen.<ref>{{Cite web|url=https://blog.technitium.com/2018/06/configuring-dns-server-for-privacy.html|title=Configuring DNS Server For Privacy & Security|website=blog.technitium.com|language=en|access-date=2018-07-19}}</ref>
Auf Client-Seite wird DNS over TLS von Android ab [[Android (Betriebssystem)#Versionen|Android&nbsp;P]] ohne Zusatzprogramme vom Betriebssystem direkt unterstützt.<ref>{{Internetquelle |autor=Erik Kline, Ben Schwartz |url=https://android-developers.googleblog.com/2018/04/dns-over-tls-support-in-android-p.html |titel=DNS over TLS support in Android P Developer Preview |werk=Android Developers Blog |datum=2018-04-13 |abruf=2018-07-30}}</ref> Dabei erlaubt das Android Pie dem Nutzer, den bevorzugten DoT-Server explizit in den Einstellungen einzutragen. Das Betriebssystem Windows hat zurzeit keinen<ref>{{Internetquelle |url=https://techcommunity.microsoft.com/t5/networking-blog/windows-will-improve-user-privacy-with-dns-over-https/ba-p/1014229 |titel=Windows will improve user privacy with DNS over HTTPS |datum=2019-11-18 |sprache=en |abruf=2020-10-16}}</ref> eigenen Support für DoT, weswegen hier auf lokale DNS-Resolver gesetzt werden muss, die die DNS-Anfragen mittels des [[Localhost]] zuerst intern auf dem Client umleiten und dann zu den entsprechenden öffentlichen Servern weiterleiten. Auf Server-Seite wird es von verschiedenen Programmen unterstützt. So wird es in DNSDist von [[PowerDNS]] in der aktuellen Version 1.3.0. unterstützt.<ref name="DNSDist DNS over TLS">{{Internetquelle |url=https://dnsdist.org/guides/dns-over-tls.html |titel=DNS-over-TLS |sprache=en |abruf=2018-07-31}}</ref> [[Name Server Daemon]] unterstützt DoT seit Version 4.2.<ref>{{Internetquelle |url=https://nlnetlabs.nl/news/2019/Jun/11/nsd-4.2.0-released/ |titel=News NSD 4.2.0 released |sprache=en |abruf=2019-10-11}}</ref> Bei [[BIND]] ist es in Kombination mit dem Tool [[stunnel]] möglich, DNS over TLS zu verwenden.<ref>{{Internetquelle |url=https://kb.isc.org/article/AA-01386/0/DNS-over-TLS.html |titel=Bind DNS over TLS |abruf=2024-01-20 |archiv-url=https://web.archive.org/web/20171020030829/https://kb.isc.org/article/AA-01386/0/DNS-over-TLS.html |archiv-datum=2017-10-20}}</ref> Technitium DNS Servers hat bekannt gegeben, dass sie DNS over TLS seit Version 1.3 unterstützen.<ref>{{Internetquelle |url=https://blog.technitium.com/2018/06/configuring-dns-server-for-privacy.html |titel=Configuring DNS Server For Privacy & Security |werk=blog.technitium.com |sprache=en |abruf=2018-07-19}}</ref>


DNS over TLS wird mittlerweile frei verfügbar von mehreren öffentlichen DNS-Provider angeboten.
== Öffentliche DNS-Server ==
DNS over TLS wird mittlerweile frei verfügbar von einer Reihe öffentlicher DNS-Provider angeboten,<ref name="troubleshoot-dnsovertls">{{cite web|url=https://medium.com/@nykolas.z/troubleshooting-dns-over-tls-e7ca570b6337|title=Troubleshooting DNS over TLS}}</ref> unter anderem:


In Windows 11 previews ab Version 25158 ist es möglich, DNS-over-TLS (DoT) über die Konsole einzuschalten. Die Benutzung von [[DNS over HTTPS]] (DoH) ist bereits per Eingabe in die Standard-Netzwerk-Dialog-Eingabemaske des User Interface der regulären Windows-11-Version möglich. Dabei ist ebenfalls [[Discovery of Designated Resolvers]] (DDR) konfigurierbar.<ref>{{Internetquelle |url=https://blog.cloudflare.com/announcing-ddr-support/ |titel=Announcing experimental DDR in 1.1.1.1 |sprache=en |abruf=2023-05-09 |werk=blog.cloudflare.com}}</ref> DDR ist dabei für die automatische Konfiguration von DoH verantwortlich.<ref>{{Internetquelle |url=https://4sysops.com/archives/activate-dns-over-tls-dot-in-windows-11/ |titel=Activate DNS over TLS (DoT) in Windows 11 |sprache=en |abruf=2023-05-09 |werk=4sysops.com}}</ref><ref>{{Internetquelle |url=https://techcommunity.microsoft.com/t5/networking-blog/making-doh-discoverable-introducing-ddr/ba-p/2887289 |titel=Making DoH Discoverable: Introducing DDR |werk=techcommunity.microsoft.com |sprache=en |abruf=2023-05-09}}</ref>
{| class="wikitable sortable"
!Provider
!Server<br />[[IP-Adresse]]n
![[Hostname]]<br />(DoT-Adresse)
!Inhaltsblockierung
!Eigenschaften
|-
![[CleanBrowsing]]<ref>{{cite web|url=https://cleanbrowsing.org/dnsovertls|title=CleanBrowsing - DNS over TLS}}</ref>
|[[IPv4]]:<br />185.228.168.9<br />185.228.169.9<br />[[IPv6]]:<br />2a0d:2a00:1::2<br />2a0d:2a00:2::2
|<code>adult-filter-dns.cleanbrowsing.org</code>
<code>family-filter-dns.cleanbrowsing.org</code>


DDR ist seit dem 22H2-Update im Windows stable Kanal, also dem Standard-Windows, enthalten.<ref>{{Internetquelle |autor=Albert Jelica |hrsg=Windows Area |url=https://windowsarea.de/2022/08/windows-11-22h2-alle-neuerungen-und-neue-funktionen/ |titel=Windows 11 22H2: Alle Neuerungen und neue Funktionen |sprache=de |abruf=2023-05-13}}</ref>
<code>security-filter-dns.cleanbrowsing.org</code>
|wählbar:<ref>{{Internetquelle |autor=NOC org / dcid |url=https://cleanbrowsing.org/ |titel=Parental Control with DNS over TLS Support |sprache=en |abruf=2019-01-10}}</ref>


FreeBSD (und eines seiner Derivate NomadBSD), NetBSD und OpenBSD bieten die Möglichkeit, mit einem dedizierten lokalen Unbound daemon DNS over TLS zu betreiben.<ref>{{Internetquelle |url=https://support.quad9.net/hc/en-us/articles/7200715305997-DNS-over-TLS-FreeBSD-with-local-unbound |titel=DNS over TLS: FreeBSD with local_unbound |werk=support.quad9.net |sprache=en |abruf=2023-05-09}}</ref>
* Security-Filter (Malware, Phishing, …)
* Adult-Filter (blockt zusätzlich zum Security-Filter pornografische und obszöne Inhalte, jedoch keinen Mixed-Content wie z. B. [[Reddit]])
* Family-Filter (blockt zusätzlich zu Security- und Adult-Filter auch Mixed-Content wie [[Reddit]] und auch [[Virtual Private Network|VPN]] und [[Proxy (Rechnernetz)|Proxy]])
|Port 853, DNSSEC-Validierung
|-
![[Cloudflare]]<ref>{{cite web|url=https://developers.cloudflare.com/1.1.1.1/dns-over-tls/|title=CloudFlare - DNS over TLS}}</ref>
|IPv4:<br />1.1.1.1<br />1.0.0.1<br />IPv6:<br />2606:4700:4700::1111<br />2606:4700:4700::1001
|<code>one.one.one.one</code><ref>{{Internetquelle |autor=Cloudflare Inc |url=https://developers.cloudflare.com/1.1.1.1/setting-up-1.1.1.1/android/ |titel=Android - Cloudflare Resolver |abruf=2020-02-11 |sprache=en}}</ref>
<code>1dot1dot1dot1.cloudflare-dns.com</code><ref>{{Internetquelle |url=https://blog.cloudflare.com/enable-private-dns-with-1-1-1-1-on-android-9-pie/ |titel=Enable Private DNS with 1.1.1.1 on Android 9 Pie |datum=2018-08-16 |sprache=en |abruf=2019-01-10}}</ref>


Seit [[MacOS Ventura]] und [[iOS 16]] sind DoT sowie DoH mit dem DDR Encrypted Initial Kontakt standardmäßig benutzbar und ohne Konsolen Eingriff in MacOS nutzbar.<ref>{{Internetquelle |autor=Qiaoyu (Joey) Deng |url=https://developer.apple.com/videos/play/wwdc2022/10079/ |titel=Improve DNS security for apps and servers |hrsg=Apple Developers |sprache=en |abruf=2023-05-14}}</ref>
<code>security.cloudflare-dns.com</code><ref name=":0">{{Internetquelle |url=https://developers.cloudflare.com/1.1.1.1/1.1.1.1-for-families/setup-instructions/dns-over-https |titel=DNS over HTTPS · 1.1.1.1 docs |abruf=2021-02-11 |sprache=en}}</ref>

<code>family.cloudflare-dns.com</code><ref name=":0" />
|wählbar:
* keiner (1.1.1.1 bzw. one. oder 1dot.)
* Schutz vor Malware (1.1.1.2 bzw. security.)
* Schutz vor Malware und Erwachseneninhalte (1.1.1.3 bzw. family.)
|Port 853, [[DNSSEC]]-Validierung
|-
![[Digitalcourage]]
|IPv4:<br />5.9.164.112<br />IPv6:<br />2a01:4f8:251:554::2
|<code>dns3.digitalcourage.de</code><ref>{{Internetquelle |url=https://digitalcourage.de/support/zensurfreier-dns-server |titel=Zensurfreier DNS-Server {{!}} Digitalcourage |abruf=2021-10-10}}</ref>
|nein
|Port 853, DNSSEC-Validierung, kein Logging
|-
![[Digitale Gesellschaft (Schweiz)|Digitale Gesellschaft Schweiz]]
|IPv4:<br />185.95.218.42<br />185.95.218.43<br />IPv6:<br />2a05:fc84::42<br />2a05:fc84::43
|<code>dns.digitale-gesellschaft.ch</code><ref>{{Internetquelle |url=https://www.digitale-gesellschaft.ch/2019/04/11/oeffentliche-dns-over-tls-und-https-dns-resolver-neuer-service-der-digitalen-gesellschaft/ |titel=Öffentliche DNS-over-TLS- und HTTPS-DNS-Resolver |abruf=2019-09-02 |sprache=de-DE}}</ref>
|nein
|Port 853, DNSSEC-Validierung, kein Logging
|-
![[Google]] Public DNS<ref>{{Internetquelle |url=https://security.googleblog.com/2019/01/google-public-dns-now-supports-dns-over.html |titel=Google Public DNS now supports DNS-over-TLS |werk=Google Online Security Blog |sprache=en |abruf=2019-01-10}}</ref>
|IPv4:<br />8.8.8.8<br />8.8.4.4<br />IPv6:<br />2001:4860:4860::8888<br />2001:4860:4860::8844
|<code>dns.google</code><ref>{{Internetquelle |url=https://developers.google.com/speed/public-dns/docs/dns-over-tls |titel=DNS-over-TLS {{!}} Public DNS |sprache=en |abruf=2019-01-10}}</ref>
|nein
|Port 853, DNSSEC-Validierung
|-
![[Quad9]]<ref>{{cite web|url=https://www.quad9.net/faq/#Does_Quad9_support_DNS_over_TLS|title=Quad9 - DNS over TLS}}</ref>
|IPv4:<br />9.9.9.9<br />149.112.112.112<br />IPv6:<br />2620:fe::fe<br />2620:fe::9
|<code>dns.quad9.net</code><ref>{{Internetquelle |url=https://www.quad9.net/private-dns-quad9-android9/ |titel=Private DNS using Quad9 on Android 9 • Quad 9 |werk=Quad 9 |datum=2018-09-18 |sprache=en-US |abruf=2019-01-10}}</ref>
|[[Schadsoftware|schädliche]] [[Domain (Internet)|Domains]]
|Port 853, DNSSEC-Validierung
|-
![[Foundation for Applied Privacy]]
|IPv4:<br />146.255.56.98<br />IPv6:<br />2a02:1b8:10:234::2
|<code>dot1.applied-privacy.net</code><ref>{{Internetquelle |autor=Foundation for Applied Privacy |url=https://applied-privacy.net/de/services/dns/ |titel=DNS Privacy Services |datum=2019-03-12 |abruf=2021-03-31 |sprache=de}}</ref>
|nein
|Port 443 und 853, DNSSEC-Validierung, kein Logging<ref>{{Internetquelle |autor=Foundation for Applied Privacy |url=https://applied-privacy.net/de/privacy-policy/ |titel=Privacy Policy |datum=2018-04-07 |abruf=2021-03-31 |sprache=de}}</ref>
|-
|Mullvad<ref>{{Internetquelle |url=https://mullvad.net/en/help/dns-over-https-and-dns-over-tls/ |titel=DNS over HTTPS and DNS over TLS - Guides |sprache=en |abruf=2022-01-19}}</ref>
|IPv4:

194.242.2.2

193.19.108.2

194.242.2.3 (adblock)

193.19.108.3 (adblock)

IPv6:

2a07:e340::2

2a07:e340::3 (adblock)
|doh.mullvad.net
adblock.doh.mullvad.net (adblock)
|Server mit und ohne Adblocking verfügbar
|DoT: TCP Port 853
DoH: TCP Port 443

keine DNSSEC-Validierung?
|}


== Unterschiede zu anderen Protokollen ==
== Unterschiede zu anderen Protokollen ==
Zeile 129: Zeile 48:
* [[DNSCrypt]]
* [[DNSCrypt]]
Bei DNS over TLS werden normale DNS-Anfragen über einen TLS-Tunnel geschickt, während bei DNS over HTTPS eine [[HTTPS]]-Verbindung aufgebaut wird, über die die Kommunikation erfolgt. Dies führt dazu, dass –&nbsp;falls der DNS-Provider auf Port 443 zusätzlich eine Website anbietet&nbsp;– für einen Lauscher im Gegensatz zu DNS over TLS auch nicht ersichtlich ist, ob DNS-Anfragen gestellt oder Webinhalte abgerufen werden. Dafür ist DNS over TLS deutlich schneller. Drittens gibt es noch DNSCrypt, bei dem Anfragen und Antworten verschlüsselt direkt per UDP oder [[Transmission Control Protocol|TCP]] übertragen werden.<ref>{{Literatur |Titel=Tenta DNS over TLS vs DNSCrypt |Sammelwerk=Tenta Browser Blog |Datum= |Online=https://tenta.com/blog/post/2017/12/dns-over-tls-vs-dnscrypt |Abruf=2018-08-05}}</ref><ref>{{Internetquelle |url=https://dnscrypt.info/faq/ |titel=Home page of the DNSCrypt project &#91;DNS security&#93; |sprache=en |abruf=2018-08-05}}</ref>
Bei DNS over TLS werden normale DNS-Anfragen über einen TLS-Tunnel geschickt, während bei DNS over HTTPS eine [[HTTPS]]-Verbindung aufgebaut wird, über die die Kommunikation erfolgt. Dies führt dazu, dass –&nbsp;falls der DNS-Provider auf Port 443 zusätzlich eine Website anbietet&nbsp;– für einen Lauscher im Gegensatz zu DNS over TLS auch nicht ersichtlich ist, ob DNS-Anfragen gestellt oder Webinhalte abgerufen werden. Dafür ist DNS over TLS deutlich schneller. Drittens gibt es noch DNSCrypt, bei dem Anfragen und Antworten verschlüsselt direkt per UDP oder [[Transmission Control Protocol|TCP]] übertragen werden.<ref>{{Literatur |Titel=Tenta DNS over TLS vs DNSCrypt |Sammelwerk=Tenta Browser Blog |Datum= |Online=https://tenta.com/blog/post/2017/12/dns-over-tls-vs-dnscrypt |Abruf=2018-08-05}}</ref><ref>{{Internetquelle |url=https://dnscrypt.info/faq/ |titel=Home page of the DNSCrypt project &#91;DNS security&#93; |sprache=en |abruf=2018-08-05}}</ref>

== Siehe auch ==
* [[DNS over HTTPS]]
* [[Domain Name System Security Extensions]] (DNSSEC)
* [[DNS-based Authentication of Named Entities]] (DANE)
* [[DNSCurve]]


== Literatur ==
== Literatur ==
* Mark E.Jeftovic: ''Managing Mission - Critical Domains and DNS.'' S. 303 {{Google Buch| BuchID=PsNiDwAAQBAJ| Seite=PA303 | Hervorhebung="DNS over TLS"}}
* Mark E. Jeftovic: ''Managing Mission Critical Domains and DNS.'' S. 303; {{Google Buch |BuchID=PsNiDwAAQBAJ |Seite=PA303 |Hervorhebung="DNS over TLS"}}
* Michael Dooley, Timothy Roone: ''DNS Security Management.'' S. 168 {{Google Buch| BuchID=0TwtDwAAQBAJ| Seite=PA168 | Hervorhebung="DNS over TLS"}}
* Michael Dooley, Timothy Roone: ''DNS Security Management.'' S. 168; {{Google Buch |BuchID=0TwtDwAAQBAJ |Seite=PA168 |Hervorhebung="DNS over TLS"}}


== Weblinks ==
== Weblinks ==
Zeile 145: Zeile 58:


== Einzelnachweise ==
== Einzelnachweise ==
<references />
<references>
<ref name="RFC7858">
{{RFC-Internet |Autor=Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman |RFC=7858 |Titel=Specification for DNS over Transport Layer Security (TLS) |Datum=2016-05 |Updated=8310 |Errata=1}}
</ref>
</references>


[[Kategorie:Domain Name System]]
[[Kategorie:Domain Name System]]
[[Kategorie:Internetprotokollfamilie]]
[[Kategorie:Internetstandard]]
[[Kategorie:Netzwerkprotokoll auf Anwendungsschicht]]
[[Kategorie:Netzwerkprotokoll auf Anwendungsschicht]]
[[Kategorie:Transport Layer Security]]

Aktuelle Version vom 20. Januar 2024, 14:12 Uhr

DoT (DNS over TLS)
Familie: Internetprotokollfamilie
Einsatzgebiet: verschlüsseltes DNS
Port: 853/TCP
DNS im TCP/IP-Protokollstapel:
Anwendung DNS
Transport UDP TCP
Internet IP (IPv4, IPv6)
Netzzugang Ethernet Token
Bus 		Token
Ring 		FDDI
Standards: RFC 7858 (2016)[1]

RFC 8310 (2018)[2]

DNS over TLS (DoT) ist ein Protokoll, mit dem DNS-Abfragen, d. h. vor allem Abfragen zur Auflösung von Hostnamen in IP-Adressen und umgekehrt, über das Transport-Layer-Security-Protokoll verschlüsselt übertragen werden. Es handelt sich um einen von der Internet Engineering Task Force vorgeschlagenen Standard, RFC 7858.[1]

Protokoll

[Bearbeiten | Quelltext bearbeiten]

Bei DNS over TLS werden DNS-Anfragen und -Antworten über eine mit TLS gesicherte Verbindung übertragen, die zwischen dem Client wie bspw. dem Webbrowser und dem Server des DNS-Anbieters aufgebaut wird. TLS (Transport Layer Security, weitläufiger bekannt unter der Vorgängerbezeichnung Secure Sockets Layer SSL) ist ein Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet. Der für DNS over TLS zum Verbindungsaufbau von der IETF standardisierte Port ist 853.[3]

Sicherheit

[Bearbeiten | Quelltext bearbeiten]

Die DNS-Abfrage ist in diesem Fall über das Verschlüsselungsprotokoll Transport Layer Security (TLS) gesichert und – im Gegensatz zum ungesicherten DNS – gegen Ausspähung und Manipulation durch einen Man-in-the-Middle-Angriff geschützt. Dadurch soll sowohl die Privatsphäre der Anwender vor Lauschern geschützt als auch die Einschleusung manipulierter DNS-Informationen verhindert werden. Zudem sollen damit Denial-of-Service-Attacken erschwert werden.[4]

Implementierungen

[Bearbeiten | Quelltext bearbeiten]

Auf Client-Seite wird DNS over TLS von Android ab Android P ohne Zusatzprogramme vom Betriebssystem direkt unterstützt.[5] Dabei erlaubt das Android Pie dem Nutzer, den bevorzugten DoT-Server explizit in den Einstellungen einzutragen. Das Betriebssystem Windows hat zurzeit keinen[6] eigenen Support für DoT, weswegen hier auf lokale DNS-Resolver gesetzt werden muss, die die DNS-Anfragen mittels des Localhost zuerst intern auf dem Client umleiten und dann zu den entsprechenden öffentlichen Servern weiterleiten. Auf Server-Seite wird es von verschiedenen Programmen unterstützt. So wird es in DNSDist von PowerDNS in der aktuellen Version 1.3.0. unterstützt.[7] Name Server Daemon unterstützt DoT seit Version 4.2.[8] Bei BIND ist es in Kombination mit dem Tool stunnel möglich, DNS over TLS zu verwenden.[9] Technitium DNS Servers hat bekannt gegeben, dass sie DNS over TLS seit Version 1.3 unterstützen.[10]

DNS over TLS wird mittlerweile frei verfügbar von mehreren öffentlichen DNS-Provider angeboten.

In Windows 11 previews ab Version 25158 ist es möglich, DNS-over-TLS (DoT) über die Konsole einzuschalten. Die Benutzung von DNS over HTTPS (DoH) ist bereits per Eingabe in die Standard-Netzwerk-Dialog-Eingabemaske des User Interface der regulären Windows-11-Version möglich. Dabei ist ebenfalls Discovery of Designated Resolvers (DDR) konfigurierbar.[11] DDR ist dabei für die automatische Konfiguration von DoH verantwortlich.[12][13]

DDR ist seit dem 22H2-Update im Windows stable Kanal, also dem Standard-Windows, enthalten.[14]

FreeBSD (und eines seiner Derivate NomadBSD), NetBSD und OpenBSD bieten die Möglichkeit, mit einem dedizierten lokalen Unbound daemon DNS over TLS zu betreiben.[15]

Seit MacOS Ventura und iOS 16 sind DoT sowie DoH mit dem DDR Encrypted Initial Kontakt standardmäßig benutzbar und ohne Konsolen Eingriff in MacOS nutzbar.[16]

Unterschiede zu anderen Protokollen

[Bearbeiten | Quelltext bearbeiten]

Standardmäßig werden DNS-Anfragen und Antworten unverschlüsselt mit UDP übertragen.

Für die Implementierung einer Verschlüsselung gibt es aktuell vor allem drei Optionen, nämlich:

Bei DNS over TLS werden normale DNS-Anfragen über einen TLS-Tunnel geschickt, während bei DNS over HTTPS eine HTTPS-Verbindung aufgebaut wird, über die die Kommunikation erfolgt. Dies führt dazu, dass – falls der DNS-Provider auf Port 443 zusätzlich eine Website anbietet – für einen Lauscher im Gegensatz zu DNS over TLS auch nicht ersichtlich ist, ob DNS-Anfragen gestellt oder Webinhalte abgerufen werden. Dafür ist DNS over TLS deutlich schneller. Drittens gibt es noch DNSCrypt, bei dem Anfragen und Antworten verschlüsselt direkt per UDP oder TCP übertragen werden.[17][18]

Literatur

[Bearbeiten | Quelltext bearbeiten]
[Bearbeiten | Quelltext bearbeiten]
  • DNS Privacy Project: dnsprivacy.org
  • Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman: RFC 7858 - Specification for DNS over Transport Layer Security (TLS) [Errata: RFC 7858]. Mai 2016 (aktualisiert durch RFC 8310, englisch).

Einzelnachweise

[Bearbeiten | Quelltext bearbeiten]
  1. a b Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman: RFC 7858 - Specification for DNS over Transport Layer Security (TLS) [Errata: RFC 7858]. Mai 2016 (aktualisiert durch RFC 8310, englisch).
  2. RFC 8310 - Usage Profiles for DNS over TLS and DNS over DTLS. März 2018 (englisch).
  3. Duane Wessels, John Heidemann, Liang Zhu, Allison Mankin, Paul Hoffman: RFC 7858 - Specification for DNS over Transport Layer Security (TLS). Mai 2016, Abschnitt 3: Establishing and Managing DNS-over-TLS Sessions. (englisch).
  4. DNS mit Privacy und Security vor dem Durchbruch. heise.de
  5. Erik Kline, Ben Schwartz: DNS over TLS support in Android P Developer Preview. In: Android Developers Blog. 13. April 2018, abgerufen am 30. Juli 2018.
  6. Windows will improve user privacy with DNS over HTTPS. 18. November 2019, abgerufen am 16. Oktober 2020 (englisch).
  7. DNS-over-TLS. Abgerufen am 31. Juli 2018 (englisch).
  8. News – NSD 4.2.0 released. Abgerufen am 11. Oktober 2019 (englisch).
  9. Bind – DNS over TLS. Archiviert vom Original am 20. Oktober 2017; abgerufen am 20. Januar 2024.
  10. Configuring DNS Server For Privacy & Security. In: blog.technitium.com. Abgerufen am 19. Juli 2018 (englisch).
  11. Announcing experimental DDR in 1.1.1.1. In: blog.cloudflare.com. Abgerufen am 9. Mai 2023 (englisch).
  12. Activate DNS over TLS (DoT) in Windows 11. In: 4sysops.com. Abgerufen am 9. Mai 2023 (englisch).
  13. Making DoH Discoverable: Introducing DDR. In: techcommunity.microsoft.com. Abgerufen am 9. Mai 2023 (englisch).
  14. Albert Jelica: Windows 11 22H2: Alle Neuerungen und neue Funktionen. Windows Area, abgerufen am 13. Mai 2023.
  15. DNS over TLS: FreeBSD with local_unbound. In: support.quad9.net. Abgerufen am 9. Mai 2023 (englisch).
  16. Qiaoyu (Joey) Deng: Improve DNS security for apps and servers. Apple Developers, abgerufen am 14. Mai 2023 (englisch).
  17. Tenta DNS over TLS vs DNSCrypt. In: Tenta Browser Blog. (tenta.com [abgerufen am 5. August 2018]).
  18. Home page of the DNSCrypt project [DNS security]. Abgerufen am 5. August 2018 (englisch).
Abgerufen von „https://de.wikipedia.org/w/index.php?title=DNS_over_TLS&oldid=241360977