DNS-Verschlüsselung

DoT und DoH – ein Buchstabe macht den großen Unterschied

| Autor / Redakteur: Kirill Kasavchenko / Andreas Donner

DNS hat eine große Schwäche: Standardmäßig werden sämtliche Anfragen und Antworten im Klartext übertragen.
DNS hat eine große Schwäche: Standardmäßig werden sämtliche Anfragen und Antworten im Klartext übertragen. (Bild: © – Funtap – stock.adobe.com)

DoT (DNS over TLS) und DoH (DNS over HTTPS) übertragen DNS-Informationen in verschlüsselter Form – zwei Optionen für ein ähnliches Ziel, doch in Diskussionsforen liest man von Besorgnis, Enttäuschung und Missverständnissen über die möglichen Auswirkungen von DoH.

Für die Befürworter der privaten Internetnutzung scheint es einen Konsens zu geben: Die Verschlüsselung des Domain Name Systems (DNS) ist erforderlich, um zu verhindern, dass Netzwerkbetreiber Einblicke in die Dienste und Webseiten erhalten, die ihre Nutzer suchen und schließlich auch besuchen. Um diese Verschlüsselung zu erreichen, wurden zwei Protokolle erstellt: DoT und DoH. Beide verschlüsseln DNS-Daten mit demselben TLS-Protokoll, doch es gibt einige sehr wichtige Unterschiede:

  • Protokollschichten: Während DoT im Wesentlichen DNS über TLS ist, ist DoH tatsächlich DNS über HTTP über TLS.
  • Unterschiedliche Ports: Der DoT-Datenverkehr verwendet den dedizierten Port 853 und kann daher auf Netzwerkebene erkannt werden. DoH verwendet den Standardport 443 (HTTPS).
  • Unterschiedliche Funktionen: DoT ist größtenteils dasselbe DNS, wie man es kennt, während DoH in gewissem Maß Funktionen von DNS und HTTP kombiniert. Zu den bemerkenswertesten erweiterten DoH-Funktionen gehören Optionen zum „Pushen“ von DNS-Daten vom Server (anstatt sie zu „pullen“) sowie die Möglichkeit für Webbrowser zu definieren, welcher DNS-Server verwendet wird (anstatt des im Betriebssystem vom Systemadministrator festgelegten Servers).

Diese zwei Alternativen, um ein ähnliches Ziel zu erreichen, haben innerhalb der Internet-Community zur Spaltung geführt: Einige Organisationen begannen, DoT zu implementieren und zu bewerben, andere entschieden sich für DoH.

Die erste Gruppe besteht größtenteils aus Service-Providern und Unternehmen. Für sie ist DoT eine Weiterentwicklung des bestehenden DNS, da es die Art und Weise, wie Netzwerke entworfen, betrieben und gesichert werden, nicht grundlegend verändert.

Die zweite Gruppe, bestehend aus Webfirmen und Browserentwicklern, setzt jedoch auf DoH und bietet den Nutzern die Möglichkeit, DNS-Dienste zu umgehen, die von Service-Providern angeboten und von Systemadministratoren konfiguriert werden. Sie bieten ihre eigenen Cloud-DNS-Dienste an, wobei das Unterscheidungsmerkmal eine Kombination aus besserem Datenschutz und höherer Leistung ist – zwei Dinge, die für Endanwender attraktiv sind.

Vom Standpunkt des Netzwerkbetreibers aus verringert sich jedoch die Sichtbarkeit der von ihren Kunden genutzten Over-the-Top-Dienste, wenn Anwender zu DoH migrieren. Dadurch werden auch ihre Möglichkeiten, ihre Nutzer vor den Bedrohungen im Internet zu schützen, gemindert.

Kirill Kasavchenko.
Kirill Kasavchenko. (Bild: Netscout)

Auch wenn DoT im Vergleich zu DoH momentan siebenmal so viele Daten kreiert, werden beide Protokolle verstärkt genutzt. Netzbetreiber aller Art sind aufgrund dessen zunehmend besorgt über die Auswirkungen einer mangelnden DNS-Sichtbarkeit auf ihre täglichen Aktivitäten. Man stelle sich vor, ein DoH-Dienst scheitert aus irgendeinem Grund, etwa, aufgrund eines internen Ausfalls oder eines DDoS-Angriffs – für einen typischen nichttechnischen Mobil- oder Breitbandnutzer würde sich dies als „keine Internetverbindung“ darstellen und wahrscheinlich zu einem Supportanruf beim Service-Provider führen, der eigentlich nichts mit jenem DoH-Dienst zu tun hat. Diese Art von Problemen gibt in der gesamten Branche Anlass zu großer Sorge.

Über den Autor

Kirill Kasavchenko ist Principal Security Technologist im CTO-Office bei Netscout.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46303630 / Multiple Protokolle)