DNS over HTTPS: Eine Kernkomponente des Internets bekommt ein Update

Fachbeitrag

Die Kommunikation im Internet läuft in der Regel namensbasiert. Keiner möchte sich eine Reihe von IP-Adressen merken, um seine Lieblingsseiten zu besuchen. Dabei ist die Namensauflösung im aktuellen Domain Name System (DNS) leicht mitzulesen und zu manipulieren. Dies soll sich nun mit DNS over HTTPS (DOH) ändern.

Wie funktioniert das Domain Name System?

Das DNS dient der Namensauflösung in Netzwerken. Das wohl bekannteste Netzwerk ist das Internet. Wird eine Seite wie zum Beispiel www.datenschutzbeauftragter-info.de im Browser aufgerufen, wird eine DNS-Abfrage gestartet und die zugehörige IP-Adresse des Webservers zu bekommen. In diesem Fall würde der Webbrowser die Rückmeldung 178.77.109.249 für IPv4 oder für IPv6 die Adresse 2a01:488:42:1000:b24d:6df9:ffa9:3c86 bekommen. Mit dieser Information ruft der Webbrowser anschließend die Webseite auf.

Ohne diesen Mechanismus müssten Sie jedes Mal die IP-Adresse in ihren Browser eingeben. Die Abfrage bei den sogenannten DNS-Server wird dabei im Klartext übertragen, das heißt, jeder auf dem Weg von ihrem Gerät bis zum Server kann einsehen, welche Webseite Sie gerne besuchen würden. Auch Manipulationen gehen verhältnismäßig leicht von der Hand. Dabei kann ein Angreifer die Antwort des Servers verändern und Sie z.B. auf eine andere Seite umleiten.

Zwei neue Standards sind in den Startlöchern

Um die Probleme zu beheben gab es in der Vergangenheit bereits einen Ansatz, der zumindest die Antworten des Namensservers verlässlich gestalten sollte. Obwohl seit über 10 Jahren einsetzbar, hat sich DNSSEC bis heute kaum durchgesetzt. Nun hat die Internet Engineering Task Force (IETF) zwei neue Verfahren standardisiert. Diese sollen das Domain Name System verlässlicher und sicherer gestalten. Besonders das zweite Verfahren krempelt dabei mehr um, als auf den ersten Blick ersichtlich ist.

DNS over TLS – DoT

Der erste Ansatz behebt bereits ein Problem und bleibt dabei relativ einfach. DNS over Transport Layer Security verpackt die DNS-Anfrage in eine Transport Layer Security(TLS)-gesicherte Verbindung. Dasselbe Prinzip wird auch bei HTTP und HTTPS verwendet. Bevor der eigentliche Datenverkehr startet, wird mittels TLS eine verschlüsselte Verbindung zwischen Client und Server aufgebaut. Erst dann werden die eigentlichen Daten übertragen.

Das heißt, dass die eigentliche Anfrage zur Namensauflösung sowie die Antwort des Servers, die die Adresse enthält, verschlüsselt werden und für Außenstehende nicht mehr einsehbar sind. Ein Gewinn für die Privatsphäre.

Das Verfahren hat aber zwei Nachteile. Zum einen, dass mit diesem Verfahren im Gegensatz zum klassischen DNS erst eine Verbindung zu einem DNS-Server aufgebaut werden muss. Dies kostet Zeit und sorgt für eine Reduzierung der Geschwindigkeit. Kompensiert werden soll dies dadurch, dass über eine Verbindung möglichst viele Abfragen an den Server gestellt werden. Zum anderen dürfte der deutlich größere Nachteil die Verwendung eines neuen Ports sein. DoT verwendet den Port 853, welcher den meisten noch unbekannt ist. Dadurch wird dieser wohl in den meisten öffentlichen WLANs und Firewalls geblockt. Ohne eine funktionierende Namensauflösung ist Ihr Internetgerät im Grunde unbrauchbar. Der zweite Ansatz umgeht dieses Problem recht elegant.

DNS over HTTPS – DoH

DNS over HTTPS nutzt, wie der Name schon sagt, das HTTPS-Protokoll welches über Port 443 läuft. Da dieser in den meisten Netzwerken offen ist, gibt es hier keine Probleme seitens Blockaden durch eine Firewall o.Ä.. Wie DoT verwendet DoH eine verbindungsorientierte Kommunikation und sendet nach dessen Aufbau HTTPS Pakete, welche die eigentliche DNS-Anfrage enthalten. Somit wird auf den ersten Blick noch mehr zusätzlicher Traffic erzeugt als bei DoT und bis auf die Portproblematik wird kein Vorteil gegenüber DoT dargestellt.

Aber DoH geht noch einen Schritt weiter: Dadurch, dass HTTPS verwendet wird, kann im Grunde jeder Webserver nun DNS-Anfragen beantworten, vorausgesetzt dieser unterstützt DoH. Angedacht ist, dass z.B. ein Webserver selbst Auskunft über alle verwendeten und verlinkten Seiten auf der angefragten Webseite ausgibt. Somit erübrigen sich weitere DNS-Anfragen, wenn Sie sich auf der Webseite bewegen. Aber auch klassische DNS-Server können um DoH erweitert und über HTTPS angefragt werden

Weitere Vorteile von DoH

Wie bereits erwähnt erfolgt auch die Namensauflösung verschlüsselt, ein Mitlesen oder eine Manipulation, wie im klassischen DNS ist nicht mehr möglich. Noch dazu ist der DoH Traffic nicht vom „normalen“ Surfverhalten zu unterscheiden. Das Erstellen von Surfprofilen, anhand von DNS-Anfragen wird damit nahezu unmöglich. Das Beantworten von DNS-Anfragen durch Webserver kann zu einer zumindest teilweisen Dezentralisierung des Domain Name Systems führen.

Wichtig ist außerdem, dass die Anfragen nicht mehr an das Betriebssystem weitergeleitet werden, welches normalerweise die Namensauflösung übernimmt und der Anwendung die IP-Adresse zurückmeldet. Mit DoH stellt die Anwendung, wie zum Beispiel ein Browser, selbst die Anfrage direkt an einen DoH-Server. Das führt u.a. dazu, dass für jede Anwendung definiert werden kann, ob und welcher DoH-Server verwendet werden soll. Die Konfiguration des DNS-Servers des Betriebssystems spielt dabei keine Rolle mehr.

Viel Licht und etwas Schatten

Der Einsatz von DoH erhöht signifikant das Sicherheits- und Vertraulichkeitsniveau. Sie können die Technik schon heute nutzen, indem Sie z.B. im Firefox ab Version 60 dementsprechend konfigurieren. Eine Liste von offenen DoH-Servern ist im Internet zu finden. Als IT-Forensiker kämpfen in mir zwei Fronten. Zum einen freue ich mich über die Stärkung der Sicherheit, zum anderen sind DNS-Abfragen oft ein gutes Indiz, um Malware aufzuspüren. Dies wird in Zukunft schwerer, denn auch Kriminelle werden diese Technik sicher nutzen, um Angriffe zu verschleiern.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

IT-Forensik

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.