Menü
c't Magazin

DNS-Privacy: Google schiebt DNS-over-TLS an

Die Verschlüsselung des DNS-Verkehrs zählt zu den Umwälzungen der Internet-Technik, die der NSA-Skandal ausgelöst hat. Nun stützt sie ein Großer der Branche.

Von
vorlesen Drucken Kommentare lesen 219 Beiträge
DNS-Privacy: Google schiebt DNS-over-TLS an

Seit kurzem nehmen Googles öffentliche DNS-Server mittels TLS verschlüsselte DNS-Anfragen an. Herkömmliche DNS-Anfragen sind unverschlüsselt und Sicherheitsbehörden, Schnüffler und Werbetreibende können sie leicht auswerten, um Surf-Profile von Nutzern im Internet aufzusetzen. Google betreibt mit seinen öffentlichen DNS-Servern (Public DNS) die weltweit größte derartige Infrastruktur. Manche Provider, insbesondere aber weltweit viele Privatnutzer nutzen Googles DNS-Server, nicht alle wissentlich.

Die DNS-Kommunikation ist für den Großteil der Internet-Dienste unerlässlich; ob surfen, mailen, chatten – alle zugehörigen Server werden anhand ihrer IP-Adresse angesprochen. Weil es unbequem ist, sich die Adressen zu merken und die Adressen auch gelegentlich wechseln können, gibt es das Domain Name System, das Domainnamen in IP-Adressen übersetzt. So startet fast jede Internet-Anwendung mit einer Anfrage des Clients (DNS query) an den konfigurierten DNS-Server (Resolver) nach der IP-Adresse einer Domain. Erst wenn der Resolver die IP-Adresse geliefert hat (DNS reply), kann der Client den zur Domain zugehörigen Server ansprechen. Zum Beispiel erreichen Webbrowser den Webserver von ct.de über die IP-Adresse 193.99.144.80 (für IPv6-Verbindungen nutzen sie 2a02:2e0:3fe:1001:302::).

Pakete mit unverschlüsselten DNS-queries und -replies sind ohne Aufwand lesbar. Google möchte seinen Kunden nun helfen, "ihre Privatsphäre und Integrität zu wahren", wie Google-Produktmanager Marshal Vale erläutert. Googles DNS-Server bauen auf Wunsch Tunnel gemäß TLS 1.3 auf und bringen einige Optionen, die DNS-Anfragen beschleunigen, darunter TCP fast open, multiple Anfragen in einer TCP-Sitzung (pipelining) und Antworten außer der Reihe (out-of-order responses). Damit sind jedoch nur die Voraussetzungen auf Server-Seite gemeint.

Damit Clients mit solchen Servern kommunizieren können, muss man zurzeit fast alle mit entsprechenden DNS-Clients nachrüsten. Die sind immerhin kostenlos für Linux, macOS und Windows erhältlich. Welche aktuell in Gebrauch sind und wie man sie einrichtet, beschreibt der c't-Artikel Auskunft abgedichtet – So schützt DNS-Kommunikation Ihre Privatsphäre.

Eine rühmliche Ausnahme ist Googles mobiles Betriebssystem Android. Seit der Version 9 (Pie) baut es für DNS-Anfragen TLS-Tunnel selbstständig auf. Um die Funktion zu nutzen, genügt es, einen passenden Server in der IP-Konfiguration des Android-Geräts einzutragen. Für die Einrichtung hält Google eine Konfigurationsanleitung bereit.

Unter dem Namen Stubby ist für macOS-Nutzer der bisher erste und einzige DNS-over-TLS-Client erschienen, der sich über ein grafisches Interface bedienen lässt. Stubby gibt es zwar auch für Linux und Windows, aber dafür sind grafische Bedienoberflächen noch in Arbeit. Die Software haben Mitarbeiter des Projekts DNS-Privacy programmiert.

Für iOS war einige Monate lang die sehr vielseitige App DNSCloak erhältlich. Aktuell ist sie im App-Store gesperrt, weil die Veröffentlichung gegen Apples Richtlinien verstößt. Demnach dürfen Einzelpersonen keine Apps im Store anbieten, die auf das VPN-API von iOS zugreifen (das ist auf iOS für die TLS-Verbindung erforderlich). Nun prüft der Programmierer Wege, die App unter dem Dach einer Firma zu veröffentlichen.

Der Schritt dürfte der DNS-Verschlüsselung sicherlich Auftrieb geben. Allerdings lässt Google unerwähnt, dass der Konzern so wie jeder andere Resolver-Betreiber die Anfragen seiner Nutzer protokollieren und mitlesen kann. So schließt man zwar als Google-DNS-Nutzer mit DNS-over-TLS fremde Mitleser aus, liefert sein Surf-Profil aber an den größten Werbetreibenden weltweit.

Nützlich ist freilich auch der Schutz gegen Manipulation der DNS-Antworten auf dem Rückweg. Den bekommt man aber auch bei anderen Anbietern von Resolvern, die mit den Clients verschlüsselte Tunnel aufbauen. Überhaupt ist DNS-over-TLS nur eines von mehreren Verfahren, um den DNS-Verkehr zu verschlüsseln. Beispielsweise verfolgen DNSCrypt und DNS-over-HTTPS dasselbe Ziel.

Anders als DNS-over-TLS nutzt DNS-over-HTTPS grundsätzlich denselben IP-Port wie HTTPS-Webdienste, nämlich Port 443. Dieser ist in den allermeisten Firewalls der Welt offen. DNS-over-TLS nutzt hingegen den eigenen Port 853, den manche Firewalls sperren. Das können Firewalls von öffentlichen WLANs sein. Man kann zwar mit DNS-over-TLS auch einen anderen Port verwenden, aber die meisten nutzen tatsächlich Port 853. Eine Übersicht über Server, die DNS-over-TLS und DNS-over-HTTPS anbieten, gibt es auf dieser Seite des Projekts DNS-Privacy.

Siehe dazu auch:

(dz)