c't 2/2019
S. 184
Praxis
DNS-Verschlüsselung
Aufmacherbild
Bild: Rudolf A. Blaha

Auskunft abgedichtet

So schützt DNS-Kommunikation Ihre Privatsphäre

Egal, welche Ziele Sie im Internet aufsuchen: Fast immer sendet Ihr System dabei Metadaten in Form von DNS-Informationen. Damit können auch Dritte erfassen, welche Seiten Sie im Internet besuchen. Inzwischen spezifiziert die Internet Engineering Task Force Verfahren, die das unterbinden. Wir zeigen, wie man damit Leckagen auf Linux, macOS und Windows stopft.

Ohne Anfragen an das Domain Name System (DNS) lässt sich kaum noch ein Internet-Dienst nutzen. Die meisten DNS-Anfragen laufen aber im Klartext ab (siehe Kasten „Metadaten für Nutzerprofile“). Lange Zeit war das kein Problem. Doch seit Nachrichtendienste und sogar Werbetreibende DNS-Anfragen als leicht zugängliche Datenquelle zum Erstellen von Nutzerprofilen verwerten, entwickeln weltweit mehrere Arbeitsgruppen Protokolle, die das mittels Verschlüsselung unterbinden sollen. Am bekanntesten sind DNS over TLS und DNS over HTTPS – kurz DoT und DoH.

Inzwischen sind erste Implementierungen erhältlich. Am meisten Aufmerksamkeit, wenn auch zunächst negative, zog bisher Mozilla mit seinen DoH-Funktionen im Firefox-Browser auf sich (siehe S. 189). Doch damit dichtet man nur den Browser-Verkehr ab. Man möchte aber die komplette DNS-Kommunikation eines PCs verschlüsseln. Und um DNS-Anfragen breit zu streuen und so das Erstellen von Profilen zu erschweren, will man mehr als einen DNS-Resolver verwenden und nicht etwa den von Google (8.8.8.8).

Kommentare lesen (8 Beiträge)

Weitere Bilder

Auskunft abgedichtet (2 Bilder)

Welche DNS-Anfragen gerade eingehen und ob sie beantwortet werden, listet Simple-DNSCrypt in einem Log-Fenster auf.