|
Googles öffentliche DNS-Server nehmen seit kurzem mittels
TLS verschlüsselte DNS-Anfragen an. Herkömmliche DNS-Anfragen
sind unverschlüsselt und um Surf-Profile von Nutzern im Internet
aufzusetzen, können Sicherheitsbehörden, Schnüffler
und Werbetreibende sie leicht auswerten. Mit seinen öffentlichen
DNS-Servern (Public DNS) betreibt Google die weltweit größte
derartige Infrastruktur.
Für den Großteil der Internet-Dienste ist die DNS-Kommunikation
unerlässlich. Ob surfen, mailen, chatten – alle zugehörigen
Server werden anhand ihrer IP-Adresse angesprochen. Es gibt das
Domain Name System, das Domainnamen in IP-Adressen übersetzt,
da es unbequem ist, sich die Adressen zu merken und die Adressen
auch gelegentlich wechseln können. Fast jede Internet-Anwendung
startet so mit einer Anfrage des Clients (DNS query) an den konfigurierten
DNS-Server (Resolver) nach der IP-Adresse einer Domain. Der Client
kann erst, wenn der Resolver die IP-Adresse geliefert hat (DNS reply),
den zur Domain zugehörigen Server ansprechen.
Pakete mit unverschlüsselten DNS-queries und -replies sind
ohne Aufwand lesbar. Nun möchte Google seinen Kunden helfen,
"ihre Privatsphäre und Integrität zu wahren",
wie Google-Produktmanager
Marshal Vale erläutert. Googles DNS-Server bringen einige
Optionen, die DNS-Anfragen beschleunigen, darunter TCP fast open,
multiple Anfragen in einer TCP-Sitzung (pipelining) und Antworten
außer der Reihe (out-of-order responses) und bauen auf Wunsch
Tunnel gemäß TLS 1.3 auf. Jedoch sind damit nur die Voraussetzungen
auf Server-Seite gemeint.
Es müssen zurzeit fast alle Clients mit entsprechenden DNS-Clients
nachgerüstet werden, damit diese mit solchen kommunizieren können.
Googles mobiles Betriebssystem Android ist hierbei eine rühmliche
Ausnahme. Es baut seit der Version 9 (Pie) für DNS-Anfragen TLS-Tunnel
selbstständig auf. Es genügt, um die Funktion zu nutzen,
einen passenden Server in der IP-Konfiguration des Android-Geräts
einzutragen. Google hält für die Einrichtung eine Konfigurationsanleitung
bereit.
Für macOS-Nutzer ist der bisher erste und einzige DNS-over-TLS-Client
unter dem Namen Stubby erschienen, der sich über ein grafisches
Interface bedienen lässt. Es
gibt Stubby zwar auch für Linux und Windows, aber dafür
sind grafische Bedienoberflächen noch in Arbeit.
Einige Monate lang war für iOS die sehr vielseitige App DNSCloak
erhältlich. Sie ist aktuell im App-Store gesperrt, da die Veröffentlichung
gegen Apples Richtlinien verstößt. Einzelpersonen dürfen
demnach keine Apps im Store anbieten, die auf das VPN-API von iOS
zugreifen (das ist auf iOS für die TLS-Verbindung erforderlich).
Der Programmierer prüft nun Wege, die App unter dem Dach einer
Firma zu veröffentlichen.
(jf, hannover)
(siehe auch Heise
News-Ticker:)
Hannover · EDV-Beratung ·
Linux · Novell · Microsoft · Seminar ·
IT-Consult · Netzwerk · LPIC · CLE
|
