Definition

Was ist DNS over HTTPS (DoH)?

| Autor / Redakteur: Stefan Luber / Andreas Donner

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - stock.adobe.com)

DNS over HTTPS ist ein Protokollstandard, mit dem sich DNS-Anfragen und -Antworten verschlüsselt übertragen lassen. Dadurch soll die DNS-Namensauflösung vor unbefugtem Mitlesen oder Manipulationen geschützt werden. Die technischen Details des Standards sind im RFC 8484 spezifiziert.

Die Abkürzung für DNS over HTTPS lautet DoH. DoH ist ein Protokollstandard zur verschlüsselten Übertragung von DNS-Anfragen und -Auflösungen über HTTPS (Hypertext Transfer Protocol Secure). DoH stellt eine sichere Alternative zur standardmäßig unverschlüsselten Übertragung von DNS-Anfragen und -Antworten dar und basiert auf den in den RFCs 1034 und 1035 festgelegten DNS-Grundlagen. Ziel des Protokolls ist es, die DNS-Informationen vor unbefugtem Zugriff oder vor Manipulationen zu schützen und die Privatsphäre von Internetnutzern sicherzustellen.

Auch DNS-basierte Zensurmechanismen lassen sich mit DNS over HTTPS unter Umständen umgehen und Risiken für Denial-of-Service-Attacken minimieren. Seit 2018 ist das Protokoll im RFC 8484 standardisiert. Im Gegensatz zu unverschlüsseltem DNS verwendet DoH nicht das ungesicherte User Datagram Protocol (UDP), sondern baut eine gesicherte Ende-zu-Ende-Verbindung zu einer DNS-Gegenstelle per HTTPS und dem gesicherten Transmission Control Protocol (TCP) über den Port 443 auf. Neben DNS over HTTPS existiert mit DNS over TLS (DoT) ein weiterer Protokollstandard für die verschlüsselte Übertragung von DNS-Informationen.

Für eine funktionierende DoH-Namensauflösung ist geeignete Software auf den anfragenden Rechnern und den DNS-Servern notwendig. Mittlerweile existieren einige öffentlich zugängliche DNS-Server mit DoH-Unterstützung wie Cloudflare oder Google Public DNS. Auf Endgeräteseite ist beispielsweise der Firefox-Browser ab der Version 60 mit der verschlüsselten DNS-Namensauflösung über HTTPS kompatibel.

Funktionsprinzip und Schwächen des Domain Name Systems

Das Domain Name Systems (DNS) stellt wichtige Grundfunktion des Internets und IP-basierter Netzwerke bereit. Es sorgt dafür, dass Anwender sich nur Domainnamen merken müssen und die für die Kommunikation zwingend benötigten zugehörigen IP-Adressen automatisch aufgelöst werden. Allerdings werden standardmäßig sämtliche DNS-Anfragen und -Antworten im Klartext übertragen. Sie sind damit für alle, die Zugriff auf den Datenverkehr zwischen Clientrechner und Server haben, einsehbar. Sie können manipuliert werden oder die Protokollierung aller angefragten Domains und damit des Surfverhaltens des Users ermöglichen. Auch Zensurmaßnahmen oder Blockierungen bestimmter Inhalte und Seiten sind über das Domain Name System realisierbar. DoH beseitigt viele dieser Schwachstellen.

Abgrenzung zwischen DNS over HTTPS (DoH) und DNS over TLS (DoT)

DoH und DoT sind sichere Alternativen gegenüber der Übertragung von DNS-Informationen im Klartext und verschlüsseln die Daten. DoT verwendet zur Übertragung von DNS-Anfragen TLS (Transport Layer Security). Sowohl bei DNS over HTTPS als auch bei DNS over TLS sind die Anfragen zur Namensauflösung und die Antworten des Servers verschlüsselt und nicht mehr einsehbar. Im Gegensatz zu DoH verwendet DoT aber nicht den Port 443, sondern den von der IETF festgelegten Port 853. Während es bei der HTTPS-Variante aufgrund des verwendeten Ports 443 nicht ersichtlich ist, ob es sich um Webdaten oder DNS-Anfragen handelt, weist der Port 853 der TLS-Variante auf die DNS-Namensauflösung hin.

Da keine vollständige HTTPS-Verbindung zwischen Client und Server etabliert werden muss, arbeitet DNS over TLS bei einzelnen Anfragen jedoch schneller. Auch für DoT gibt es inzwischen kompatible öffentliche Server, die für die verschlüsselte Auflösung nutzbar sind. Auf Endgeräteseite unterstützt beispielsweise das Betriebssystem Android P DoT.

Vor- und Nachteile von DNS over HTTPS

Vorteile von DNS over HTTPS sind:

  • Schutz vor Mitlesen und Manipulation der DNS-Auflösung
  • Schutz der Privatsphäre der Anwender
  • Minimierung der Risiken von Denial-of-Service-Attacken
  • aufgrund der Nutzung des Standardports 443 keine Unterscheidung zwischen verschlüsseltem Web-Traffic und DNS-Informationen möglich
  • geringe Wahrscheinlichkeit für Blockaden durch Firewalls
  • Namensauflösung direkt durch Webserver möglich
  • Übertragung der Aufgabe der Namensauflösung an Anwendungen wie den Webbrowser möglich

Als Nachteile lassen sich aufführen:

  • größere Intransparenz bei der Namensauflösung durch Übertragung der Aufgabe an Anwendungen
  • weniger Kontrollmechanismen der DNS-Auflösung auf Netzwerkebene
  • Gefahr der Konzentration der Namensauflösung auf wenige kompatible DNS-Server
  • Zensurmöglichkeiten und Gefahr für die Privatsphäre der Anwender durch Auswertung der Namensauflösung seitens der wenigen zentralen DNS-Server
  • Gefahr der Verschleierung von Angriffen durch verschlüsselten, im Netz nicht kontrollierbaren DNS-Verkehr

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

NGN-Anbieter kommt nach Deutschland

Cloudflare baut zusätzliche Ressourcen für den europäischen Markt auf

NGN-Anbieter kommt nach Deutschland

Der europäische Markt – und ganz besonders Deutschland – rückt für den NGN-Anbieter Cloudflare ins Zentrum des Interesses, um hier Services für das „Next Generation Network“ zu vermarkten. Die personellen und strukturellen Voraussetzungen wurden jetzt dafür geschaffen. lesen

Warenwirtschaft der Kartoffelsortieranlage läuft mit Stratus Avance rund

Waschen und legen – gute Gründe für eine eigene IT ohne Kompromisse

Warenwirtschaft der Kartoffelsortieranlage läuft mit Stratus Avance rund

Die Kartoffelsortieranlage der RV Bank Rhein-Haardt benötigt für die Weiterentwicklung der Systeme eine eigenständige IT. Gefragt sind neben Leistungsfähigkeit und Verfügbarkeit vor allem eine einfache Administration. Stratus Avance stellt die Erfüllung dieser Anforderungen im Praxisbetrieb unter Beweis. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46156595 / Definitionen)