Die Beteiligten der Internet Engineering Task Force (IETF) haben seit dem Frühjahr 2017 den Vorschlag diskutiert, DNS-Informationen über das verschlüsselte HTTPS-Protokoll zu übertragen und dieses als DNS-over-HTTPS (DoH) schließlich im vergangenen Herbst als Internet-Standard veröffentlicht. Für große Teile der DoH-Implementierung im Firefox-Browser ist der Entwickler Daniel Stenberg zuständig gewesen und erklärte auf der Fosdem-Konferenz die Vorteile der Technik. Aus Sicht des Entwicklers liegen diese vor allem beim Endnutzer.

DoH läuft auf den üblichen HTTP-Ports, also 443 oder auch 80, lässt sich damit nicht von normalem Web-Traffic unterscheiden und kann auch nicht über eine Portsperre blockiert werden. Die übertragenen Daten sind dann nicht nur verschlüsselt, sondern durch die Wiederverwendung der TLS-Infrastruktur samt Zertifikaten auch impliziert authentifiziert. Wenn der Nutzer dem Betreiber des DoH-Endpunkts vertraut und dessen Zertifikat, sollte auch den so erhaltenen DNS-Informationen vertraut werden.

Entscheidend für Stendberg ist vorallem der letztgenannte Punkt. Denn in der bisher üblichen Konfiguration der Nutzer wird der DNS-Server per DHCP automatisch im System über ein unverschlüsseltes Protokoll zugewiesen. Selbst wenn Nutzer einen anderen DNS-Server verwenden, geschieht dies in den meisten Fällen auch unverschlüsselt und nicht authentifiziert über das alte DNS-Protokoll.

Derzeit gibt es mit Google, Cloudflare und nur sehr wenigen anderen Alternativen kaum Server-Anbieter für DoH, räumt Stenberg ein. Dies sei aber kein inhärentes Problem von DoH. Wie bisher schon mit DNS könne im Prinzip jeder mit Zugriff auf einen Server auch einen DoH-Endpunkt umsetzen.

(hv, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE