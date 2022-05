Die Internet Engineering Task Force (IETF) hat den RFC 9250 zu DNS over QUIC (DoQ) veröffentlicht. Er verspricht eine bessere Namensauflösung bei höherer Geschwindigkeit. Seit geraumer Zeit schon werden Verschlüsselungsprotokolle für die Namensauflösung (DNS) kontrovers diskutiert, darunter DNS over TLS (DoT) und DNS over HTTPS (DoH). Mit dem noch recht jungen Protokoll QUIC möchte die IETF nun dessen positiven protokollinhärenten Eigenschaften für die Namensauflösung nutzen.

Dabei sollen die integrierte TLS-1.3-Verschlüsselung für verbesserten Datenschutz und die optimierte Latenz im Verbindungsaufbau (im Vergleich zu klassischem TLS über TCP) die Namensauflösung positiv beeinflussen. Der RFC 9250 definiert außerdem unterschiedliche Anwendungszwecke im DNS für DoQ: "Stub to recursive Resolver"-, "recursive to authoritative"- und Zonentransferszenarien.

Kein Head-of-Time Blocking

Das auf UDP aufbauende QUIC-Protokoll bietet einige interessante Eigenschaften für die DNS-Übertragung. So gibt es bei DoQ kein Head-of-Line Blocking wie bei DNS over TCP bei größeren Übertragungen. Jede Anfrage/Antwort-Transaktion wird einem separaten Stream zugeordnet. Somit kann eine fehlende Antwort folgende Abfragen nicht ausbremsen. Der Client wählt dafür jeweils einen dedizierten Stream für jede Anfrage.

Zudem sollen Client und Server es ermöglichen, eine Verbindung wiederzuverwenden, indem sie multiple Anfragen und Antworten über eine persistente QUIC Connection versenden. Es muss also im Normalfall kein zusätzlicher QUIC-Handshake stattfinden. Clients, die mehrere Anfragen an einen DNS-Server versenden, sollen nicht auf eine ausstehende Antwort warten, bevor sie eine weitere Anfrage senden.

DoQ enthält einen dedizierten UDP-Port mit der Nummer 853. Jedoch können sich Client und Server gemäß Spezifikation auch auf andere Ports einigen, wobei UDP-Port 53 wegen Verwechslungsgefahr mit DNS over UDP nicht zulässig ist. Die Unterstützung für DoQ erfolgt auf Basis des Application-Layer Protocol Negotiation (ALPN) Token "doq" im Crypto-Handshake. Falls die DoQ-Verbindung fehlschlägt, können Clients auf DoT und in Folge auf Klartextübertragung zurückfallen. Der Client sollte sich jedoch Server-IP-Adressen merken, die DoQ nicht umsetzen.

Obwohl QUIC-Pakete verschlüsselt sind, können Protokollanalysen aus der Paketlänge in Anfragen und Antworten sowie deren Timing erkennen, dass es sich um DoQ handelt. Deshalb empfiehlt es sich, Padding gemäß der EDNS-Padding-Option oder QUIC Padding anzuwenden.

Vorteil: verbesserter Datenschutz

Die in QUIC integrierte TLS-1.3-Verschlüsselung bietet einen verbesserten Datenschutz und schützt auch standardmäßig bereits gegen Downgrade-Attacken. Bei langlebigeren Sessions hat QUIC den Vorteil, dass Quell-IPs am Client während der Übertragung wechseln können. Dadurch entkoppelt es die Übertragung der IP-Adressen und nutzt Connection-IDs und die darin enthaltenen Streams.

DoQ enthält im Vergleich zu UDP aber auch eine effizientere Korrektur bei Paketverlusten, die sich aus dem QUIC-Protokoll und RFC 9002 (QUIC Loss Detection and Congestion Control) ergeben. Zudem gibt es zum Schutz gegen Amplification-Attacken eine bessere Quell-IP-Validierung als bei DNS over UDP.

Einen weiteren Vorteil im Vergleich zu klassischen verschlüsselten DNS-Verschlüsselungsmethoden stellt das 0-RTT Feature (Zero Round Trip Time) von QUIC für die Wiederaufnahme vorheriger Sessions ohne zusätzlichen Handshake dar. Hierdurch verringert sich die Latenz bei Anfragen an den gleichen DNS-Server im Vergleich zum Aufbau neuer Sessions inklusive zugehöriger TLS-Aushandlungen, sei es für DoT oder DoH.

Zusätzliche Geschwindigkeit

DoQ soll den Datenschutz von DNS over TLS mit den positiven Latenzeigenschaften von klassischem DNS over UDP kombinieren. Gleichzeitig möchten die Protokolldesigner jedoch eine direktere Alternative als bei DNS over HTTPS nutzen. Zwar setzt das neue HTTP/3 auch auf QUIC auf, jedoch würde bei einer DoH-Übertragung mit HTTP/3 ein zusätzlicher Layer für das Hypertext Transport Protocol hinzukommen, was zusätzlichen Overhead und Komplexität einfügt. Daher soll DoQ die direktere Alternative darstellen.

Wie bei allen RFCs bleibt nun abzuwarten, ob und wann es Praxisimplementierungen gibt. Weitere Details zu DNS over QUIC (DoQ) finden sich im RFC-Editor des IETF.

()