Das Domain Name System (DNS) sorgt dafür, dass wir pro­blem­los durchs Netz surfen können. Gäbe es das prak­ti­sche System nicht, müssten wir jedes Mal eine IP-Adresse in den Browser eintragen, um eine Website öffnen zu können. Dank des DNS reichen leicht merkbare URLs. Doch der Komfort funk­tio­nier­te bisher nur auf Kosten der Si­cher­heit. Dank DNS over TLS (DoT) könnten die Gefahren beim Surfen nun stark minimiert werden. Wie funk­tio­niert die Technik?

Wofür braucht man DNS over TLS?

Das Domain Name System ist ein prak­ti­sches Konzept, doch erfunden wurde es in einer Zeit, als das Internet noch sehr viel kleiner und die Si­cher­heits­be­den­ken um einiges geringer waren als heut­zu­ta­ge. DNS funk­tio­niert, indem jeder Client (also bei­spiels­wei­se der heimische PC) bei einem so­ge­nann­ten Name­ser­ver nach der richtigen IP-Adresse zu einem ein­ge­ge­be­nen Domain-Namen fragt. Sollte sich der Eintrag nicht mehr im Cache von Browser, PC oder Router befinden, muss also eine Ver­bin­dung über das Internet statt­fin­den. Bei der Kom­mu­ni­ka­ti­on zwischen Client und DNS-Server können dann Angriffe statt­fin­den, denn die Kom­mu­ni­ka­ti­on im DNS findet zum größten Teil voll­kom­men un­ver­schlüs­selt statt.

In­ter­net­kri­mi­nel­len wird es somit sehr leicht gemacht, die Kom­mu­ni­ka­ti­on zwischen den be­tei­lig­ten Teil­neh­mern aus­zu­le­sen oder zu ma­ni­pu­lie­ren. Anfragen werden dabei ab­ge­fan­gen und falsche Antworten zu­rück­ge­sen­det. Diese Technik ist als DNS Hijacking bekannt: Nutzer gelangen so auf Seiten, die sie nicht aufrufen sollten. Im besten Fall werden Nutzer dort nur mit über­mä­ßi­ger Werbung drang­sa­liert. Im schlimms­ten Fall verseucht man sein Gerät mit Malware oder wird Opfer einer Phishing-Attacke. Dabei kann der Angreifer sen­si­bels­te Daten ein­sam­meln.

Auch Re­gie­run­gen und In­ter­net­pro­vi­der nutzen die Schwach­stel­len des DNS aus, um etwa zu­sätz­li­che Werbung zu schalten oder bestimmte Websites zu blo­ckie­ren – sei es, um lokale Gesetze im Internet durch­zu­set­zen oder um un­ge­woll­te Meinungen zu zensieren. Sowohl gegen die kri­mi­nel­len Ak­ti­vi­tä­ten als auch diese legalen Um­lei­tun­gen kann eine ver­schlüs­sel­te Ver­bin­dung mit DoT helfen.

Hinweis

DNS over TLS wird von der Internet En­gi­nee­ring Task Force (IETF) vor­an­ge­trie­ben, die die Technik im RFC 7858 be­schrie­ben hat.

Wie funk­tio­niert DNS over TLS?

Das Transport-Layer-Security-Protokoll (TLS) arbeitet auf der obersten Schicht des TCP/IP-Pro­to­koll­sta­pels und ist damit fester Be­stand­teil des Internets und vieler anderer Netzwerke. Am be­kann­tes­ten dürfte das Protokoll im Kontext von HTTPS sein. TLS hilft hier bereits, Über­tra­gun­gen vom Client zum Webserver sicher zu gestalten. Zukünftig soll TLS auch die Kom­mu­ni­ka­ti­on im DNS sicherer machen.

Bei DNS over TLS läuft der Da­ten­aus­tausch über einen ver­schlüs­sel­ten Tunnel. Nur die beiden Teil­neh­mer dieser Kom­mu­ni­ka­ti­on können die Daten ent­schlüs­seln und ver­ar­bei­ten. Das macht eine Man-in-the-Middle-Attacke un­brauch­bar: Der Angreifer kann die Daten nicht ver­ar­bei­ten. Dafür läuft der Transport über einfache TCP-Ver­bin­dun­gen und den stan­dar­di­sier­ten Port 853. Damit ist für DoT ein eigener Port vor­ge­se­hen, der nur für den Austausch von Domain-In­for­ma­tio­nen gedacht ist.

Sowohl auf Server- als auch auf Client-Seite muss die Technik al­ler­dings un­ter­stützt werden. In­zwi­schen gibt es mehrere Anbieter im Internet, die ent­spre­chen­de DNS-Server be­reit­stel­len. Damit man mit seinem Desktop-PC oder Laptop auf diese zugreifen kann, muss man al­ler­dings soft­ware­tech­nisch nach­rüs­ten. Für Windows und Linux gibt es ent­spre­chen­de Lösungen. Smart­phones mit der neuesten Android-Version können von Haus aus DNS over TLS verwenden.

Fakt

TLS ist immer noch vor allem unter der Be­zeich­nung SSL bekannt. Das Secure-Sockets-Layer-Protokoll ist al­ler­dings in­zwi­schen veraltet.

Vor- und Nachteile von DNS over TLS

Da das klas­si­sche DNS keinerlei Si­cher­heits­vor­keh­run­gen vorsieht, kann man mit DoT wenig falsch machen. Durch die Ver­schlüs­se­lung haben In­ter­net­kri­mi­nel­le keine Chance mehr, den Service für ihre Attacken aus­zu­nut­zen. Ebenso können Re­gie­run­gen Ihre Zen­sur­maß­nah­men nicht mehr über das DNS regeln – zumindest theo­re­tisch. DNS over TLS wird nämlich von vielen Experten dafür kri­ti­siert, dass es einen spe­zi­fi­schen Port verwendet. So kann zwar nicht erkannt werden, welche Website auf­ge­ru­fen werden soll; es ist aber er­sicht­lich, dass eine DNS-Anfrage ver­schickt wird. Da­ten­schüt­zer sehen darin ein Problem. Viele Netzwerk-Ad­mi­nis­tra­to­ren finden diesen Schritt aber wichtig, um einen besseren Überblick über die Ak­ti­vi­tä­ten im Netzwerk zu haben.

Probleme entstehen derzeit auch noch durch die fehlende Ver­brei­tung von DNS over TLS. Abgesehen von Android 9 müssen alle Be­triebs­sys­te­me durch zu­sätz­li­che Software nach­ge­rüs­tet werden. Auch ser­ver­sei­tig ist die Technik (noch) nicht so weit ver­brei­tet: Zwar findet man bereits mehrere Anbieter, aber noch lange nicht so viele, wie man es vom klas­si­schen DNS her kennt. Manche Experten sorgen sich deshalb darum, dass ein Monopol entsteht. Bisher wird ein großer Teil von Name­ser­vern durch In­ter­net­pro­vi­der zur Verfügung gestellt, nun könnten andere Un­ter­neh­men – und zwar in­ter­na­tio­nal gesehen sehr viel weniger – DNS-Anfragen bei sich bündeln.

DoT vs. DoH

Neben DoT wird derzeit noch eine weitere Technik dis­ku­tiert, die die Na­mens­auf­lö­sung sicherer machen kann: DNS over HTTPS (DoH). Beiden Lösungen ist gemein, dass sie die Kom­mu­ni­ka­ti­on ver­schlüs­seln. Der größte Un­ter­schied liegt im Port, der dafür verwendet wird. Und was wie eine Klei­nig­keit klingt, hat zu einem tiefen Graben zwischen Ex­per­ten­grup­pen geführt: Während DNS over TLS einen eigenen Port einsetzt, nutzt DoH Port 443 – der auch für alle weiteren HTTPS-Ver­bin­dun­gen verwendet wird, z. B. für ge­wöhn­li­che Website-Aufrufe. Damit lässt sich eine DNS-Anfrage nicht vom rest­li­chen Verkehr beim Surfen im Web un­ter­schei­den.

Unter da­ten­schutz­tech­ni­schen Ge­sichts­punk­ten ist das ein Vorteil: Wenn keine DNS-Anfrage erkannt wird, kann auch nicht versucht werden, diese zu un­ter­bin­den. Einige Netz­werk­ad­mi­nis­tra­to­ren sehen dabei al­ler­dings die Gefahr, dass sie die Kontrolle über den Netzwerk-Traffic verlieren und deshalb die Kom­mu­ni­ka­ti­on nicht mehr korrekt verwalten können.

So haben sich zwei Lager gebildet, die jeweils ihre Lösung vor­an­trei­ben möchten. Hinter DoT steckt in erster Linie die IETF, eine Or­ga­ni­sa­ti­on, die sich mit der Wei­ter­ent­wick­lung des Internets befasst. Die IETF ent­wi­ckelt Standards, die in vielen Fällen von den anderen Akteuren des World Wide Webs auf­ge­grif­fen werden. Hinter DNS over HTTPS stehen wiederum andere Un­ter­neh­men und Or­ga­ni­sa­tio­nen. So wird diese Lösung bei­spiels­wei­se von der Mozilla Foun­da­ti­on und Google an­ge­scho­ben.

Zum Hauptmenü