DNS über TLS im Vergleich zu DNS über HTTPS | Sicheres DNS

DNS-Abfragen werden im Klartext gesendet, was bedeutet, dass jeder sie lesen kann. DNS über HTTPS und DNS über TLS verschlüsseln DNS-Abfragen und -Antworten, damit Benutzer sicher und privat browsen können. Beide Methoden haben jedoch ihre Vor- und Nachteile.

Share facebook icon linkedin icon twitter icon email icon

DNS über TLS

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Verstehen, warum DNS mehr Sicherheit benötigt und weshalb DNS-Privatsphäre wichtig ist
  • Verstehen, wie DNS über TLS und DNS über HTTPS funktionieren und wie sie sich unterscheiden
  • Die Vor- und Nachteile beider Methoden erklären
  • DNS über TLS/HTTPS mit DNSSEC vergleichen

Warum braucht DNS zusätzliche Sicherheits-Layer?

DNS ist das Telefonbuch des Internets. DNS-Resolver übersetzen von Menschen lesbare Domain-Namen in maschinenlesbare IP-Adressen. Standardmäßig werden DNS-Abfragen und -Antworten im Klartext (per UDP) gesendet, was bedeutet, dass sie von Netzwerken, ISPs oder jedem, der die Übertragungen überwachen kann, gelesen werden können. Selbst wenn eine Website HTTPS verwendet, wird die für die Navigation zu dieser Website erforderliche DNS-Abfrage offengelegt.

Dieser Mangel an Privatsphäre hat enorme Auswirkungen auf die Sicherheit – und in einigen Fällen sogar auf die Menschenrechte. Wenn DNS-Abfragen nicht privat sind, dann wird es für Regierungen leichter, das Internet zu zensieren, und schwarze Schafe haben es einfacher, das Online-Verhalten von Benutzern zu verfolgen.

Ungesicherter DNS-Traffic

Sie können sich eine normale, unverschlüsselte DNS-Abfrage wie eine Postkarte vorstellen: Jeder, der die Post bearbeitet, kann ganz beiläufig einen Blick auf den Text auf der Rückseite der Karte werfen. Daher ist es nicht besonders ratsam, eine Postkarte zu verschicken, die vertrauliche oder private Informationen enthält.

DNS über TLS und DNS über HTTPS sind zwei Standards, die zur Verschlüsselung von Klartext-DNS-Traffic entwickelt wurden, um zu verhindern, dass böswillige Parteien, Werbetreibende, ISPs und andere die Daten auswerten können. Um unsere Analogie fortzusetzen, könnten wir sagen, dass diese Standards darauf abzielen, alle Postkarten in einen Umschlag zu stecken. So kann jeder eine Karte verschicken, ohne sich Sorgen machen zu müssen, dass jemand ihm nachspioniert oder Dinge erfährt, die niemanden etwas angehen.

DNS über TLS

Was ist DNS über TLS?

DNS über TLS – kurz DoT – ist ein Standard zur Verschlüsselung von DNS-Abfragen, um diese sicher und privat zu halten. Bei DoT wird dasselbe Sicherheitsprotokoll – TLS – verwendet, das HTTPS-Websites zur Verschlüsselung und Authentifizierung der Kommunikation einsetzen. (TLS ist auch als „SSL“ bekannt.) DoT nutzt TLS-Verschlüsselung als Ergänzung zum User Datagram Protocol (UDP), das für DNS-Abfragen verwendet wird. Darüber hinaus sorgt es dafür, dass DNS-Anfragen und -Antworten nicht manipuliert oder durch Man-in-the-Middle-Angriffe gefälscht werden.

Was ist DNS über HTTPS?

DNS über HTTPS – kurz DoH – ist eine Alternative zu DoT. Bei DoH werden DNS-Abfragen und -Antworten verschlüsselt, aber über die Protokolle HTTP oder HTTP/2 anstatt direkt über UDP gesendet. Wie DoT sorgt auch DoH dafür, dass Angreifer DNS-Traffic nicht fälschen oder verändern können. Aus der Perspektive eines Netzwerkadministrators sieht DoH-Traffic aus wie anderer HTTPS-Traffic, z. B. wie normale benutzergesteuerte Interaktionen mit Websites und Webanwendungen.

Moment mal, verwendet HTTPS nicht auch TLS zur Verschlüsselung? Wie unterscheiden sich DNS über TLS und DNS über HTTPS?

Jeder Standard wurde separat entwickelt und hat seine eigene RFC*-Dokumentation, aber der wichtigste Unterschied zwischen DoT und DoH besteht darin, welchen Port sie verwenden. DoT verwendet nur Port 853, während DoH Port 443 verwendet, den auch der gesamte andere HTTPS-Traffic nutzt.

Da DoT über einen dedizierten Port verfügt, kann jeder Nutzer mit Netzwerkeinsicht DoT-Traffic kommen und gehen sehen, auch wenn die Anfragen und Antworten selbst verschlüsselt sind. Im Gegensatz dazu sind DNS-Abfragen und -Antworten bei DoH gewissermaßen innerhalb des übrigen HTTPS-Traffics versteckt, da der gesamte Traffic über den selben Port läuft.

*RFC steht für „Request for Comments“. Ein RFC ist ein kollektiver Versuch von Entwicklern, Netzwerkexperten und Vordenkern, eine Internet-Technologie oder ein Protokoll zu standardisieren.

Was ist ein Port?

Im Netzwerkbereich ist ein Port ein virtueller Ort an einem Rechner, der für Verbindungen von anderen Rechnern offen ist. Jeder vernetzte Computer verfügt über eine Standardanzahl von Ports, wobei jeder dieser Ports für bestimmte Kommunikationsarten reserviert ist.

Denken Sie an Anlegestellen für Schiffe in einem Hafen: Jede Anlegestelle ist nummeriert, und verschiedene Arten von Schiffen laufen bestimmte Anlegestellen an, um Fracht oder Passagiere abzuladen bzw. von Bord gehen zu lassen. Im Netzwerkbereich ist es genauso: Bestimmte Arten von Kommunikation gehen an bestimmte Netzwerk-Ports. Der Unterschied besteht darin, dass die Netzwerk-Ports virtuell sind. Sie sind Orte für digitale und nicht für physische Verbindungen.

Was ist besser: DoT oder DoH?

Genau das steht zur Debatte. Aus der Sicht der Netzwerksicherheit ist DoT wohl besser. Es gibt Netzwerkadministratoren die Möglichkeit, DNS-Abfragen zu überwachen und zu blockieren, was wichtig ist, um böswilligen Traffic zu identifizieren und zu stoppen. DoH-Abfragen sind dagegen im regulären HTTPS-Verkehr versteckt, was bedeutet, dass sie nicht einfach blockiert werden können, ohne dass dabei auch der gesamte andere HTTPS-Traffic blockiert wird.

Aus der Sicht von Privatsphäre und Datenschutz ist aber wahrscheinlich DoH vorzuziehen. Bei DoH sind DNS-Abfragen im größeren Fluss des HTTPS-Traffics getarnt. Damit haben Netzwerkadministratoren weniger Einsicht, aber die Privatsphäre der Benutzer ist besser geschützt.

1.1.1.1, der kostenlose DNS-Resolver von Cloudflare, unterstützt sowohl DoT als auch DoH.

Was ist der Unterschied zwischen DNS über TLS/HTTPS und DNSSEC?

DNSSEC ist ein Satz von Sicherheitserweiterungen zur Überprüfung der Identität von DNS-Root-Servern und autoritativen Nameservern bei der Kommunikation mit DNS-Resolvern. Neben anderen Angriffen soll es u. a. DNS-Cache-Poisoning verhindern. Es verschlüsselt keine Kommunikation. DNS über TLS oder HTTPS hingegen verschlüsselt DNS-Abfragen. 1.1.1.1 unterstützt auch DNSSEC.

Mehr über 1.1.1.1 erfahren Sie unter Was ist 1.1.1.1?