{"id":5740,"date":"2018-08-14T10:26:19","date_gmt":"2018-08-14T08:26:19","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=5740"},"modified":"2025-12-18T11:42:43","modified_gmt":"2025-12-18T10:42:43","slug":"dns-ueber-https-ietf-moechte-standardisieren","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/dns-ueber-https-ietf-moechte-standardisieren\/","title":{"rendered":"DNS \u00fcber HTTPS: IETF m\u00f6chte standardisieren"},"content":{"rendered":"

Schon seit Jahren ist bekannt, dass sich DNS-Anfragen leicht auslesen lassen. Mit DoH und DoT soll mehr Sicherheit einziehen; die IETF (Internet Engineering Task Force) m\u00f6chte die neue DoH-Spezifikation fertigstellen. Jedoch regt sich Widerstand gegen diese geplante Zentralisierung.<\/p>\n

DoT und DoH \u2013 was bedeutet das?<\/h3>\n

Dass das DNS (Domain Name System<\/a>) unsicher ist, ist bereits seit Jahren bekannt. Anfragen eines Nutzers k\u00f6nnen sehr einfach sowohl \u00fcberwacht als auch blockiert werden. Um dem DNS mehr Sicherheit zu spendieren, gibt es zwei L\u00f6sungsans\u00e4tze: DoT sowie DoH.<\/p>\n

DoT („DNS over Transport Layer Security“) ist ein Verschl\u00fcsselungsprotokoll zum Absichern der Verbindung zwischen dem Anwender-System und dem DNS-Dienst. Android setzt beispielsweise standardm\u00e4\u00dfig auf DoT. Unter Windows, Linux und macOS existiert jedoch bislang kaum Software. Unter Verwendung von Port 853 ist davon auszugehen, dass DoT noch diverse Arbeiten nach sich zieht.<\/p>\n

DoH („DNS over HTTPS“) hingegen nutzt \u2013 wie der regul\u00e4re Webtraffic \u2013 Port 443. Anwendungs- bzw. insbesondere Browserentwickler sind gefragt, den Standard zu implementieren.<\/p>\n

 <\/p>\n

IETF m\u00f6chte DoH standardisieren<\/h3>\n

Die Browser-Entwickler und Content Delivery Netze m\u00f6chten DNS also einpacken und absichern. Die aktuellen DoH-Spezifikationen sind praktisch bereits fertig, jedoch kann es noch bis in den Herbst dauern, bis DoH offiziell von der IETF zum Standard verabschiedet wird. Die gro\u00dfen Browser-Hersteller wie Google und Mozilla implementieren die Technologie bereits, womit klassische DNS-Resolver an den Rand gedr\u00e4ngt werden k\u00f6nnten.<\/p>\n

Bis DoH offizieller Standard werden kann, muss jedoch gekl\u00e4rt werden, wie DoH weiter genutzt werden soll: dezentral oder zentralisiert? Mozilla war bereits so fix und hat DoH mal eben in Firefox implementiert. Weiter k\u00fcndigte der Webriese an, s\u00e4mtliche DNS-Anfragen an die Cloudflare-DoH-Server senden zu wollen.<\/p>\n

Klar: Durch die HTTPS-Verschl\u00fcsselung wird das Mith\u00f6ren verhindert, die Vertraulichkeit steigt. Allerdings werden komplette Surfprofile bei einem US-amerikanischen Konzern abgeliefert. Um die Vertraulichkeit zu wahren, lie\u00df sich Mozilla per Vertrag zusichern, dass Cloudflare s\u00e4mtliche Mozilla-Anfragen umgehend verwirft. Das Konzept darf dennoch kritisch diskutiert werden. Kritiker bef\u00fcrchten, dass Namensaufl\u00f6sungen bald komplett in den H\u00e4nden von Gro\u00dfkonzernen sein k\u00f6nnten.<\/p>\n

Dezentrales DoH doch der bessere Weg?<\/h3>\n

Auch eine dezentrale Namensaufl\u00f6sung w\u00e4re mit DoH denkbar. Jeder Webserver stellt dann die DNS-Informationen bereit; er selbst bezieht sie \u00fcber das herk\u00f6mmliche DNS\/DNSSEC. Ruft dann ein Server eine Website via HTTPS auf, k\u00f6nnen alle IP-Adressen von dem referenzierten Server mitgeliefert werden. Den voreingestellten DNS-Server braucht der Browser dann nur noch einmal zum Start einer Surfsession f\u00fcr den ersten Server.<\/p>\n

Riesiger Vorteil: die Privatsph\u00e4re bleibt gew\u00e4hrleistet, denn der DoH-Server-Betreiber bekommt keinerlei Zusatzinformationen dar\u00fcber, welche DNS-Informationen der Client wirklich verwendet.<\/p>\n

IETF diskutiert noch<\/h3>\n

Zentrales oder dezentrales DoH? Die IETF steht mit ihren Diskussionen noch ganz am Anfang. Leider, denn so steigt die Gefahr, dass Web-Vorreiter wie Mozilla mit Cloudflare oder auch Google mit anderen L\u00f6sungen zentralisierte DoH-Konzepte umsetzen, noch bevor die Entscheidung zum dezentralen DoH fallen kann.<\/p>\n