Mehr Vertraulichkeit im Internet durch DNS über HTTPS

IT-Sicherheitsexperte fordert rasche Einigung über zentralen oder dezentralen Ansatz

[datensicherheit.de, 06.09.2018] Bereits seit Jahren ist bekannt, dass sich DNS-Anfragen (Domain Name System-Abfragen)  leicht auslesen und manipulieren lassen: „Kriminelle können beispielsweise nicht nur sehen, welche Internet-Dienste ihr Opfer nutzt, sondern sind auch in der Lage, dessen Internet-Zugriffe auf eine Phishing-Seite umzuleiten, um persönliche Daten auszulesen“, verdeutlicht Christian Heutger, Geschäftsführer der PSW GROUP, die Problematik.

Zwei Ansätze für mehr Sicherheit bei DNS-Abfragen

Mit dem DoT- und dem DoH-Ansatz stehen bereits zwei Möglichen bereit, die dem DNS mehr Sicherheit spendieren könnten. Die IETF, eine Organisation, die sich mit der technischen Weiterentwicklung des Internets befasst, präferiert die DoH-Spezifikation und möchte sie endlich standardisieren. Damit sollen die Browser-Entwickler und Content Delivery Netze DNS künftig einpacken und absichern.

© PSW Group

Christian Heutger: Rasche Einigung über zentralen oder dezentralen Ansatz nötig

DoH-Spezifikationen bereits fertig

Doch obwohl die aktuellen DoH-Spezifikationen bereits fertig sind, kann es noch bis in den Herbst dauern, bis DoH offiziell zum Standard verabschiedet wird. Der Grund: Die IETF klärt noch, ob DoH dezentral oder zentral genutzt werden soll. „Das dauert mir zu lang. Denn die beiden Internetriesen Google und Mozilla haben die Technologie bereits implementiert und verfolgen zentralisierte DoH-Konzepte. Das bedeutet konkret, dass beispielsweise Mozilla sämtliche DNS-Anfragen an die Cloudflare-DoH-Server senden will. Zwar wird durch die HTTPS-Verschlüsselung das Mithören verhindert, und die Vertraulichkeit steigt. Allerdings werden so auch komplette Surfprofile bei einem US-amerikanischen Konzern abgeliefert“, ist Christian Heutger skeptisch.

Heutger präferiert eine dezentrale Namensauflösung mit DoH: Jeder Webserver stellt die DNS-Informationen bereit, bezieht sie aber selbst über das herkömmliche DNS/DNSSEC. Ruft dann ein Server eine Website via HTTPS auf, können alle IP-Adressen von dem referenzierten Server mitgeliefert werden. Den voreingestellten DNS-Server braucht der Browser dann nur noch einmal zum Start einer Surfsession für den ersten Server. Heutger erläutert den Vorteil: „Die Privatsphäre bliebe damit gewährleistet, denn der DoH-Server-Betreiber bekommt keinerlei Zusatzinformationen darüber, welche DNS-Informationen der Client wirklich verwendet.“

Hintergrund: DoT und DoH

DoT steht für DNS over Transport Layer Security und ist ein Verschlüsselungsprotokoll zur Absicherung der Verbindung zwischen dem Anwender-System und dem DNS-Dienst. DNS-Anfragen werden dabei über Port 853 verschlüsselt übertragen. Android setzt beispielsweise standardmäßig auf DoT. Unter Windows, Linux und macOS existiert jedoch bislang kaum Software. DNS over HTTPS (DoH) hingegen nutzt – wie der reguläre Webtraffic – Port 443. Hier sind also Anwendungs- bzw. insbesondere Browserentwickler gefragt, den Standard zu implementieren.

Weitere Informationen zum Thema:

PSW Group Blog
DNS über HTTPS: IETF möchte standardisieren

datensicherheit.de, 28.10.2016
DDoS-Angriff auf DynDNS: Vier Lehren für die Sicherheit im Internet der Dinge

datensicherheit.de, 22.10.2016
Schwerpunkt US-Ostküste: Ausfall beim DNS-Provider Dyn nach DDoS-Attacke