DNS-Verschlüsselung DoT und DoH – ein Buchstabe macht den großen Unterschied

DoT (DNS over TLS) und DoH (DNS over HTTPS) übertragen DNS-Informationen in verschlüsselter Form – zwei Optionen für ein ähnliches Ziel, doch in Diskussionsforen liest man von Besorgnis, Enttäuschung und Missverständnissen über die möglichen Auswirkungen von DoH.

Anbieter zum Thema

Lenovo Global Technology Germany GmbH

Paessler AG

Southern Tech GmbH

Netscout, Kastor & Pollux

Für die Befürworter der privaten Internetnutzung scheint es einen Konsens zu geben: Die Verschlüsselung des Domain Name Systems (DNS) ist erforderlich, um zu verhindern, dass Netzwerkbetreiber Einblicke in die Dienste und Webseiten erhalten, die ihre Nutzer suchen und schließlich auch besuchen. Um diese Verschlüsselung zu erreichen, wurden zwei Protokolle erstellt: DoT und DoH. Beide verschlüsseln DNS-Daten mit demselben TLS-Protokoll, doch es gibt einige sehr wichtige Unterschiede:

• Protokollschichten: Während DoT im Wesentlichen DNS über TLS ist, ist DoH tatsächlich DNS über HTTP über TLS.

• Unterschiedliche Ports: Der DoT-Datenverkehr verwendet den dedizierten Port 853 und kann daher auf Netzwerkebene erkannt werden. DoH verwendet den Standardport 443 (HTTPS).

• Unterschiedliche Funktionen: DoT ist größtenteils dasselbe DNS, wie man es kennt, während DoH in gewissem Maß Funktionen von DNS und HTTP kombiniert. Zu den bemerkenswertesten erweiterten DoH-Funktionen gehören Optionen zum „Pushen“ von DNS-Daten vom Server (anstatt sie zu „pullen“) sowie die Möglichkeit für Webbrowser zu definieren, welcher DNS-Server verwendet wird (anstatt des im Betriebssystem vom Systemadministrator festgelegten Servers).

Diese zwei Alternativen, um ein ähnliches Ziel zu erreichen, haben innerhalb der Internet-Community zur Spaltung geführt: Einige Organisationen begannen, DoT zu implementieren und zu bewerben, andere entschieden sich für DoH.

Die erste Gruppe besteht größtenteils aus Service-Providern und Unternehmen. Für sie ist DoT eine Weiterentwicklung des bestehenden DNS, da es die Art und Weise, wie Netzwerke entworfen, betrieben und gesichert werden, nicht grundlegend verändert.

Die zweite Gruppe, bestehend aus Webfirmen und Browserentwicklern, setzt jedoch auf DoH und bietet den Nutzern die Möglichkeit, DNS-Dienste zu umgehen, die von Service-Providern angeboten und von Systemadministratoren konfiguriert werden. Sie bieten ihre eigenen Cloud-DNS-Dienste an, wobei das Unterscheidungsmerkmal eine Kombination aus besserem Datenschutz und höherer Leistung ist – zwei Dinge, die für Endanwender attraktiv sind.

Vom Standpunkt des Netzwerkbetreibers aus verringert sich jedoch die Sichtbarkeit der von ihren Kunden genutzten Over-the-Top-Dienste, wenn Anwender zu DoH migrieren. Dadurch werden auch ihre Möglichkeiten, ihre Nutzer vor den Bedrohungen im Internet zu schützen, gemindert.

Kirill Kasavchenko.

Auch wenn DoT im Vergleich zu DoH momentan siebenmal so viele Daten kreiert, werden beide Protokolle verstärkt genutzt. Netzbetreiber aller Art sind aufgrund dessen zunehmend besorgt über die Auswirkungen einer mangelnden DNS-Sichtbarkeit auf ihre täglichen Aktivitäten. Man stelle sich vor, ein DoH-Dienst scheitert aus irgendeinem Grund, etwa, aufgrund eines internen Ausfalls oder eines DDoS-Angriffs – für einen typischen nichttechnischen Mobil- oder Breitbandnutzer würde sich dies als „keine Internetverbindung“ darstellen und wahrscheinlich zu einem Supportanruf beim Service-Provider führen, der eigentlich nichts mit jenem DoH-Dienst zu tun hat. Diese Art von Problemen gibt in der gesamten Branche Anlass zu großer Sorge.

Über den Autor

Kirill Kasavchenko ist Principal Security Technologist im CTO-Office bei Netscout.

(ID:46303630)