c't 7/2019
S. 50
News
Domain Name System

Wegweiser-Wald

DNS-over-HTTPS: Der Weg zum richtigen DNS-Resolver

Moderne Browser können mit dem neuen Protokoll DNS-over-HTTPS Domainnamen selbstständig zu IP-Adressen auflösen. Weil sie dabei einen im Firmennetz eingerichteten DNS-Server ignorieren, können sie auf Server im Intranet nicht mehr zugreifen. Die IETF macht sich Gedanken dazu, wie man dieses Problem lösen könnte – beschwört aber auch neue Probleme herauf.

Firmen unterhalten in ihren Netzwerken zahlreiche Server, auf die nur Mitarbeiter zugreifen sollen – größtenteils aus Sicherheitsgründen. Das können zum Beispiel interne Web- oder Mailserver sein. Admins setzen dafür interne DNS-Server auf, die die IP-Adressen zu den privaten Servern nur an Geräte im Firmennetz verteilen. Außerdem beantworten sie auch Anfragen nach Domains im Internet, sodass Mitarbeiter sowohl Ressourcen im Firmennetz als auch außerhalb dessen ansteuern können. Schließlich lassen sich über interne DNS-Server auch DNS-Filter einrichten, etwa gegen Malware.

Nun untergraben dieses Konzept Browser, die das neue Protokoll DNS-over-HTTPS (DoH) mitbringen und auch nutzen: Wenn sie eine Domain ansteuern wollen, befragen sie nicht den lokalen DNS-Server, der im Betriebssystem konfiguriert ist (z. B. per DHCP), sondern einen DNS-Server im Internet.

Kommentieren