Suchen

Definition Was ist DNS over TLS (DoT)?

DNS over TLS (DoT) ist ein Protokoll zur verschlüsselten Übertragung der DNS-Namensauflösung. DNS-Anfragen und DNS-Antworten sind dadurch vor dem unbefugten Mitlesen und vor Manipulationen geschützt. Spezifiziert ist DoT in den RFC-Standards 7858 und 8310. Das Protokoll nutzt zur Kommunikation den standardisierten Port 853.

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt.
(Bild: © aga7ta - stock.adobe.com)

Die Abkürzung DoT steht für DNS over TLS. Es handelt sich um ein Protokoll zur verschlüsselten Übertragung von DNS-Anfrage und -Antworten. Für die Verschlüsselung der Informationen sorgt der Standard TLS (Transport Layer Security). Näher spezifiziert ist DoT in den RFCs 7858 und 8310.

Die Alternative zum unverschlüsselten DNS baut eine gesicherte Verbindung zwischen Client und DNS-Server auf. Verwendet wird der von der IETF (Internet Engineering Task Force) standardisierte Port 853. Im Gegensatz zu unverschlüsseltem DNS sind DoT-Informationen vor unbefugtem Mitlesen und vor Manipulationen sicher. Die Privatsphäre der Internetnutzer ist besser geschützt und DNS-basierte Zensur- oder Blockademechanismen lassen sich unter Umständen umgehen. Auch das Risiko für Denial-of-Service-Attacken auf die DNS-Infrastruktur verringert sich.

Zum Austausch von TLS-verschlüsselten DNS-Informationen müssen sowohl der Client als auch der DNS-Server DoT unterstützen. Für Desktop-Betriebssysteme wie Windows, Linux oder macOS existieren geeignete DNS-Clients, mit denen die Systeme nachgerüstet werden können. Das Betriebssystem Android P von Google, auch Android Pie oder Android Version 9 genannt, besitzt eine direkte Unterstützung von DNS over TLS. Kompatible DNS-Server können direkt in den Einstellungen der Android-Geräte eingetragen werden. Ebenfalls verfügbar sind öffentliche DNS-Server mit DoT-Unterstützung wie beispielsweise von Cloudflare, Quad9 oder Google.

Funktionsprinzip und Schwächen des Domain Name Systems

Zu den wichtigsten Grundfunktionen IP-basierter Netzwerke und des Internets gehört das Domain Name System (DNS). Es ist für die Auflösung von Domainnamen und zugehörigen IP-Adressen zuständig. Dank DNS müssen sich Anwender keine IP-Adressen merken, sondern rufen Internetservices wie Webseiten direkt über einen Domainnamen auf. Das Domain Name System sorgt im Hintergrund automatisch für die Auflösung der für die IP-Kommunikation zwingend erforderlichen IP-Adressen.

Standardmäßig werden sowohl DNS-Anfragen als auch DNS-Antworten unverschlüsselt im Klartext zwischen dem Clientrechner und dem DNS-Server übertragen. Alle, die Zugriff auf den Datenverkehr zwischen Server und Client haben, können die DNS-Informationen lesen, protokollieren oder unter Umständen manipulieren. Unter anderem lässt sich durch die Protokollierung der DNS-Daten das Surfverhalten des Anwenders nachvollziehen. Viele Zensur- und Blockademechanismen nutzen ebenfalls die Klartextinformationen aus dem DNS-Verkehr. DoT beseitigt viele dieser DNS-Schwächen.

Abgrenzung zwischen DNS over TLS (DoT) und DNS over HTTPS (DoH)

DoT und DoH übertragen DNS-Informationen im Vergleich zu herkömmlichem DNS nicht im Klartext, sondern in verschlüsselter Form. DoH verwendet zur verschlüsselten Übertragung von DNS-Anfragen oder -Antworten HTTPS (Hypertext Transfer Protocol Secure). Sowohl bei DNS over HTTPS als auch bei DNS over TLS ist die Namensauflösung mit den übermittelten Domainnamen und IP-Adressen für Außenstehende nicht mehr einsehbar.

Beide Verfahren basieren auf den in den RFCs 1034 und 1035 festgelegten DNS-Grundlagen. DoH verwendet den HTTPS-Standardport 443. Bei DoT wird der Port 853 genutzt. DNS-over-HTTPS-Verkehr ist aufgrund der Nutzung des Ports 443 nicht von normalem HTTPS-Webtraffic zu unterscheiden. Der Port 853 von DNS over TLS hingegen weist auf die Übertragung von DNS-Informationen hin.

Da bei DNS over TLS keine vollständige HTTPS-Verbindung zwischen Client und DNS-Server aufgebaut werden muss, sind DoT-Einzelanfragen in der Regel schneller bearbeitet. Für die Verschlüsselung per HTTPS und per TLS existieren kompatible öffentliche Server. Auf Endgeräteseite unterstützt beispielsweise der Firefox-Browser ab Version 60 DoH.

Vor- und Nachteile von DNS over TLS

Vorteile von per TLS verschlüsseltem DNS:

  • Schutz vor Mitlesen und Manipulation der DNS-Auflösung
  • Schutz der Privatsphäre der Anwender
  • Minimierung der Risiken von Denial-of-Service-Attacken
  • direkte Unterstützung durch das Android-Betriebssystem ab der Version 9
  • kostenlose DoT-Clients für Windows, macOS und Linux verfügbar

Als Nachteile lassen sich aufführen:

  • größere Intransparenz bei der Namensauflösung
  • weniger Kontrollmechanismen der DNS-Auflösung auf Netzwerkebene
  • Gefahr der Konzentration der Namensauflösung auf wenige kompatible DNS-Server
  • Zensurmöglichkeiten und Gefahr für die Privatsphäre der Anwender durch Auswertung der Namensauflösung seitens der wenigen zentralen DNS-Server
  • Gefahr der Verschleierung von Angriffen durch verschlüsselten, im Netz nicht kontrollierbaren DNS-Verkehr
  • Gefahr der Blockade von DoT durch Geräte wie Firewalls aufgrund der Verwendung des expliziten Ports 853

(ID:46156621)

Über den Autor