Das Domain Name System (DNS) ist eine gute und bewährte Lösung: Nutzer brauchen nur eine gut merkbare Web­adres­se in ihren Browser ein­zu­tra­gen, und das System findet innerhalb von kürzester Zeit die passende IP-Adresse dazu. Dafür wird auf ver­schie­de­ne Name­ser­ver zu­rück­ge­grif­fen, die zu der URL die ent­spre­chen­de nu­me­ri­sche Adresse ge­spei­chert haben. Obwohl prin­zi­pi­ell immer noch voll funk­ti­ons­tüch­tig, ist das DNS in­zwi­schen jedoch in die Jahre gekommen. Bei der Ent­wick­lung des Systems, das immerhin schon mehrere Jahr­zehn­te alt ist, kamen den Ent­wick­lern Si­cher­heits­be­den­ken noch gar nicht in den Sinn.

Aus heutiger Per­spek­ti­ve ist das DNS al­ler­dings mehr als unsicher. Anfragen und Antworten werden in der Regel un­ver­schlüs­selt über­tra­gen und damit für jeden mitlesbar – praktisch kann sich ein Cy­ber­kri­mi­nel­ler relativ einfach mit einem eigenen Server da­zwi­schen klinken. Dieses so­ge­nann­te DNS Hijacking führt dazu, dass Nutzer auf Websites gelangen, die ihnen entweder Malware un­ter­ju­beln, zum Phishing verwendet werden oder sie mit un­glaub­lich viel Werbung be­läs­ti­gen. Deshalb wird derzeit DNS over HTTPS (DoH) unter Experten dis­ku­tiert. Taugt der Ansatz dazu, das Internet sicherer zu machen?

Wofür braucht man DNS over HTTPS?

Mit DoH will man gleich mehrere Ziele erreichen: Indem man DNS über das sichere HTTPS-Protokoll laufen lässt, soll in erster Linie Si­cher­heit und Pri­vat­sphä­re der Nutzer gestärkt werden. Durch die ver­schlüs­sel­te HTTPS-Ver­bin­dung soll es Dritten nicht möglich sein, die Auflösung zu be­ein­flus­sen oder aus­zu­spio­nie­ren. Das bedeutet, ein Dritter, der ei­gent­lich nicht an der Na­mens­auf­lö­sung beteiligt sein darf, kann nicht wissen, welche URL gerade angefragt wird, und kann deshalb die Antwort nicht verändern.

Das hilft zum einen gegen In­ter­net­kri­mi­na­li­tät und sorgt zum anderen dafür, dass In­ter­net­zen­sur schwie­ri­ger durch­zu­füh­ren ist. Manche Re­gie­run­gen nutzen das Domain Name System, um bestimmte Websites zu sperren. Dabei soll in der Regel entweder die Mei­nungs­frei­heit ein­ge­schränkt werden oder man versucht so, lokale Regeln auf das Internet aus­zu­wei­ten – bei­spiels­wei­se Anti-Por­no­gra­fie-Gesetze.

Auch manche In­ter­net­pro­vi­der (ISP) greifen auf die Technik hinter DNS Hijacking zurück: Sollte ein Nutzer eine Web­adres­se eintragen, die nicht aufgelöst werden kann (z. B. wegen eines Tipp­feh­lers), sendet der Name­ser­ver nor­ma­ler­wei­se eine Feh­ler­mel­dung. Manche ISP greifen diese ab und leiten den Nutzer statt­des­sen auf eine eigene Website, die eigene oder fremde Produkte bewirbt. Ein solches Vorgehen ist weder illegal, noch wird dem Nutzer bzw. seinen Geräten ein direkter Schaden zugefügt, doch kann die Umleitung als störend wahr­ge­nom­men werden.

Gleich­zei­tig möchte man die Leistung des DNS ver­bes­sern. Das Protokoll, das für das Domain Name System ein­ge­setzt wird, gilt als nicht zu­ver­läs­sig. Würde man DoH einsetzen, käme das Trans­mis­si­on Control Protocol (TCP) zum Einsatz, das sehr viel schneller reagiert, wenn Daten bei der Über­tra­gung verloren gehen.

Hinweis

Noch ist DNS over HTTPS noch kein globaler Standard im Internet. Die meisten Ver­bin­dun­gen funk­tio­nie­ren weiterhin über das klas­si­sche DNS. Bisher haben vor allem Google und Mozilla Vorstöße auf dem Gebiet gewagt. Ab der Firefox-Version 62 lässt sich DoH bei­spiels­wei­se optional ak­ti­vie­ren. Google testet das System derzeit bei aus­ge­wähl­ten Nutzern. Darüber hinaus gibt es Apps für mobile Geräte, die schon jetzt Surfen über DoH er­mög­li­chen. Zudem bietet Android Pie eine Option für DNS over HTTPS in den Netz­werk­ein­stel­lun­gen.

Bild: Option für DNS over HTTPS in Firefox
Nutzer der aktuellen Firefox-Version können schon jetzt in den Ein­stel­lun­gen DoH ak­ti­vie­ren.

Wie funk­tio­niert DNS over HTTPS?

Manche Na­mens­auf­lö­sun­gen können direkt im Ein­zugs­be­reich des Nutzers durch­ge­führt werden: Die ent­spre­chen­den In­for­ma­tio­nen befinden sich dann im Cache des Browsers oder des Routers. Alles was über das Internet versendet werden muss, geht al­ler­dings in der Regel über eine UDP-Ver­bin­dung. Das er­mög­licht einen sehr schnellen In­for­ma­ti­ons­aus­tausch. Doch UDP ist weder sicher noch zu­ver­läs­sig. Da­ten­pa­ke­te gehen bei der Ver­wen­dung des Pro­to­kolls re­gel­mä­ßig verloren, da es keine Me­cha­nis­men gibt, die die Über­tra­gung ga­ran­tie­ren.

DoH hingegen setzt auf HTTPS und damit auch auf das Trans­mis­si­on Control Protocol (TCP). Dieses Protokoll wird sehr viel häufiger im Internet ein­ge­setzt. Vorteile sind zum einen, dass sich Ver­bin­dun­gen ver­schlüs­seln lassen, und zum anderen, dass das Protokoll für eine ga­ran­tier­te Über­tra­gung der Daten sorgt.

Bei DNS over HTTPS ist zudem geplant, dass die Kom­mu­ni­ka­ti­on immer über Port 443 läuft. Da hierüber auch der ei­gent­li­che Webtraf­fic läuft (z. B. das Aufrufen von Websites), kann ein Au­ßen­ste­hen­der nicht zwischen DNS-Anfrage und sonstiger Kom­mu­ni­ka­ti­on un­ter­schei­den. Das er­mög­licht eine zu­sätz­li­che Ebene der Pri­vat­sphä­re für den Nutzer.

Fakt

DNS over HTTPS wurde im RFC 8484 definiert.

Vor- und Nachteile von DNS over HTTPS

Die Vorteile des neuen Systems liegen auf der Hand: Die Technik ver­spricht, mehr Si­cher­heit und Pri­vat­sphä­re zu er­mög­li­chen. Da das klas­si­sche DNS überhaupt keine Ver­schlüs­se­lung vorsieht, bietet DoH hier auf jeden Fall Vorteile. Doch auch DNS over HTTPS ist weder voll­kom­men sicher noch komplett privat: Auf den Name­ser­vern, wo die Na­mens­auf­lö­sung statt­fin­det, werden genau wie zuvor alle In­for­ma­tio­nen einsehbar. Da am DNS oft mehrere Hier­ar­chie­ebe­nen beteiligt sind, erfahren auch relativ viele Server, wer welche In­for­ma­tio­nen anfragt. Das bedeutet, dass man den Teil­neh­mern am DNS auch in der neuen Tech­no­lo­gie vertrauen muss.

DNS over HTTPS ver­schiebt dabei al­ler­dings die Zu­stän­dig­kei­ten. Klas­si­scher­wei­se über­neh­men Server der In­ter­net­pro­vi­der einen großen Teil der Na­mens­auf­lö­sung. Bei DoH hingegen ent­schei­den die Ent­wick­ler der Browser, zu welchen Servern sie die DNS-Anfragen wei­ter­lei­ten. Bei Chrome wird das wahr­schein­lich über den Google-eigenen DNS-Server geschehen. Mozilla setzt schon jetzt beim Firefox auf den Anbieter Cloud­fla­re. Neben der Frage, ob man diesen Un­ter­neh­men mehr vertraut als dem ISP, bringt gerade diese Bündelung auf wenige Un­ter­neh­men weitere Nachteile mit sich.

Kritiker von DoH sehen durch die Technik die Netz­neu­tra­li­tät gefährdet: Man be­fürch­tet, dass Google bei­spiels­wei­se Anfragen zu den un­ter­neh­mens­ei­ge­nen Diensten schneller be­ant­wor­ten könnte als DNS-Anfragen zu anderen Websites. Durch die Kon­zen­tra­ti­on auf wenige Anbieter von DoH-Servern ergibt sich auch ein Si­cher­heits­ri­si­ko: Angreifer hätten es so sehr viel leichter, das komplette DNS lahm zu legen.

DoH vs. DoT

Neben DNS over HTTPS wird derzeit eine weitere Technik zur Sicherung des Domain Name Systems dis­ku­tiert: DNS over TLS (DOT). Auf den ersten Blick ähneln sich beide Systeme, denn sowohl DoH als auch DoT ver­spre­chen mehr Si­cher­heit und Pri­vat­sphä­re für die Nutzer. Doch in einigen Punkten un­ter­schei­den sich die Techniken. So werden die beiden Lösungen prin­zi­pi­ell von un­ter­schied­li­chen In­ter­es­sen­grup­pen an­ge­scho­ben: Während hinter DNS over HTTPS in erster Linie Mozilla, Google und Anbieter von privaten DoH-Servern stehen, wird DoT von der Internet En­gi­nee­ring Task Force (IETF) vor­an­ge­bracht.

Auf tech­ni­scher Ebene un­ter­schei­det sich DoT von seinem Kon­kur­ren­ten, indem es einen TLS-Tunnel statt einer HTTPS-Ver­bin­dung aufbaut. Außerdem setzt man einen anderen Port ein. Während DoH wie erwähnt über den Standard-Port 443 läuft, funk­tio­niert die Kom­mu­ni­ka­ti­on bei DNS over TLS über den ge­son­der­ten Port 853.

Zum Hauptmenü