Definition

Was ist DNS over TLS (DoT)?

| Autor / Redakteur: Stefan Luber / Andreas Donner

Die wichtigsten IT-Fachbegriffe verständlich erklärt.
Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - stock.adobe.com)

DNS over TLS (DoT) ist ein Protokoll zur verschlüsselten Übertragung der DNS-Namensauflösung. DNS-Anfragen und DNS-Antworten sind dadurch vor dem unbefugten Mitlesen und vor Manipulationen geschützt. Spezifiziert ist DoT in den RFC-Standards 7858 und 8310. Das Protokoll nutzt zur Kommunikation den standardisierten Port 853.

Die Abkürzung DoT steht für DNS over TLS. Es handelt sich um ein Protokoll zur verschlüsselten Übertragung von DNS-Anfrage und -Antworten. Für die Verschlüsselung der Informationen sorgt der Standard TLS (Transport Layer Security). Näher spezifiziert ist DoT in den RFCs 7858 und 8310.

Die Alternative zum unverschlüsselten DNS baut eine gesicherte Verbindung zwischen Client und DNS-Server auf. Verwendet wird der von der IETF (Internet Engineering Task Force) standardisierte Port 853. Im Gegensatz zu unverschlüsseltem DNS sind DoT-Informationen vor unbefugtem Mitlesen und vor Manipulationen sicher. Die Privatsphäre der Internetnutzer ist besser geschützt und DNS-basierte Zensur- oder Blockademechanismen lassen sich unter Umständen umgehen. Auch das Risiko für Denial-of-Service-Attacken auf die DNS-Infrastruktur verringert sich.

Zum Austausch von TLS-verschlüsselten DNS-Informationen müssen sowohl der Client als auch der DNS-Server DoT unterstützen. Für Desktop-Betriebssysteme wie Windows, Linux oder macOS existieren geeignete DNS-Clients, mit denen die Systeme nachgerüstet werden können. Das Betriebssystem Android P von Google, auch Android Pie oder Android Version 9 genannt, besitzt eine direkte Unterstützung von DNS over TLS. Kompatible DNS-Server können direkt in den Einstellungen der Android-Geräte eingetragen werden. Ebenfalls verfügbar sind öffentliche DNS-Server mit DoT-Unterstützung wie beispielsweise von Cloudflare, Quad9 oder Google.

Funktionsprinzip und Schwächen des Domain Name Systems

Zu den wichtigsten Grundfunktionen IP-basierter Netzwerke und des Internets gehört das Domain Name System (DNS). Es ist für die Auflösung von Domainnamen und zugehörigen IP-Adressen zuständig. Dank DNS müssen sich Anwender keine IP-Adressen merken, sondern rufen Internetservices wie Webseiten direkt über einen Domainnamen auf. Das Domain Name System sorgt im Hintergrund automatisch für die Auflösung der für die IP-Kommunikation zwingend erforderlichen IP-Adressen.

Standardmäßig werden sowohl DNS-Anfragen als auch DNS-Antworten unverschlüsselt im Klartext zwischen dem Clientrechner und dem DNS-Server übertragen. Alle, die Zugriff auf den Datenverkehr zwischen Server und Client haben, können die DNS-Informationen lesen, protokollieren oder unter Umständen manipulieren. Unter anderem lässt sich durch die Protokollierung der DNS-Daten das Surfverhalten des Anwenders nachvollziehen. Viele Zensur- und Blockademechanismen nutzen ebenfalls die Klartextinformationen aus dem DNS-Verkehr. DoT beseitigt viele dieser DNS-Schwächen.

Abgrenzung zwischen DNS over TLS (DoT) und DNS over HTTPS (DoH)

DoT und DoH übertragen DNS-Informationen im Vergleich zu herkömmlichem DNS nicht im Klartext, sondern in verschlüsselter Form. DoH verwendet zur verschlüsselten Übertragung von DNS-Anfragen oder -Antworten HTTPS (Hypertext Transfer Protocol Secure). Sowohl bei DNS over HTTPS als auch bei DNS over TLS ist die Namensauflösung mit den übermittelten Domainnamen und IP-Adressen für Außenstehende nicht mehr einsehbar.

Beide Verfahren basieren auf den in den RFCs 1034 und 1035 festgelegten DNS-Grundlagen. DoH verwendet den HTTPS-Standardport 443. Bei DoT wird der Port 853 genutzt. DNS-over-HTTPS-Verkehr ist aufgrund der Nutzung des Ports 443 nicht von normalem HTTPS-Webtraffic zu unterscheiden. Der Port 853 von DNS over TLS hingegen weist auf die Übertragung von DNS-Informationen hin.

Da bei DNS over TLS keine vollständige HTTPS-Verbindung zwischen Client und DNS-Server aufgebaut werden muss, sind DoT-Einzelanfragen in der Regel schneller bearbeitet. Für die Verschlüsselung per HTTPS und per TLS existieren kompatible öffentliche Server. Auf Endgeräteseite unterstützt beispielsweise der Firefox-Browser ab Version 60 DoH.

Vor- und Nachteile von DNS over TLS

Vorteile von per TLS verschlüsseltem DNS:

  • Schutz vor Mitlesen und Manipulation der DNS-Auflösung
  • Schutz der Privatsphäre der Anwender
  • Minimierung der Risiken von Denial-of-Service-Attacken
  • direkte Unterstützung durch das Android-Betriebssystem ab der Version 9
  • kostenlose DoT-Clients für Windows, macOS und Linux verfügbar

Als Nachteile lassen sich aufführen:

  • größere Intransparenz bei der Namensauflösung
  • weniger Kontrollmechanismen der DNS-Auflösung auf Netzwerkebene
  • Gefahr der Konzentration der Namensauflösung auf wenige kompatible DNS-Server
  • Zensurmöglichkeiten und Gefahr für die Privatsphäre der Anwender durch Auswertung der Namensauflösung seitens der wenigen zentralen DNS-Server
  • Gefahr der Verschleierung von Angriffen durch verschlüsselten, im Netz nicht kontrollierbaren DNS-Verkehr
  • Gefahr der Blockade von DoT durch Geräte wie Firewalls aufgrund der Verwendung des expliziten Ports 853

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

KI und AR im Studium

Was kann Digitalisierung in der Ingenieurs-Ausbildung leisten?

KI und AR im Studium

Um das Studium der Technischen Mechanik modern auszurichten, ist ein Wandel durch Digitalisierung notwendig. Künstliche Intelligenz, Augmented Reality und Audience-Response-Systeme scheinen dafür am besten geeignet, so Professor Georg-Peter Ostermeyer vom Institut für Dynamik und Schwingungen (IDS). Genau diesen Weg beschreitet das Institut nun in drei Pilotprojekten. lesen

Mesh-Access-Point für die Steckdose

Lückenloses Mesh-WLAN-Netzwerk

Mesh-Access-Point für die Steckdose

Der EMD1 Mesh Dot von EnGenius ist, so der taiwanesische Hersteller, der derzeit kleinste auf dem Markt erhältliche Wave-2-Access-Point. Mit dem Gerät für die Steckdose sei es möglich, Funklöcher auch an schwierigen Orten wie etwa Tiefgaragen oder Untergeschossen zu schließen. lesen

Ericsson plant 5G Small Cell für Innen

5G Radio Dot steigert Übertragungsleistung für 4K, VR und AR

Ericsson plant 5G Small Cell für Innen

Mit dem 5G Radio Dot will Ericsson im kommenden Jahr eine Smart Cell für Innenräume auf den Markt bringen, die genug Leistung für künftige Anwendungen sowie industrielle Einsatzgebiete liefert. lesen

.WEB wird zur Feuertaufe für die ICANN

Kommentar zur neu strukturierten Internet Corporation für Assigned Names and Numbers

.WEB wird zur Feuertaufe für die ICANN

Jüngst wurde die Vereinbarung zwischen der ICANN (Internet Corporation für Assigned Names und Numbers) und dem United States Department of Commerce aufgelöst. Jetzt arbeitet die ICANN selbstständig – und erlebt mit den Unregelmäßigkeiten bei der Vergabe der .WEB-Domain gerade seine erste Bewährungsprobe. lesen

Ranovus liefert WDM ohne Mutiplexing-Architektur

200 Gbps Optical Engine und CFP2-Pluggables

Ranovus liefert WDM ohne Mutiplexing-Architektur

Der kanadische Hersteller Ranovus kündig für den Gebrauch in Rechenzentren und Kommunikationsnetzen eine skalierbare optische Engine sowie einen optischen Transceiver CFP2 für 200 Gigabit pro Sekunde an. Die Produkte sollen zudem mit geringen Kosten und Stromverbrauch punkten. lesen

Das waren die Innovationstreiber 2015

Top 100 Global Innovators

Das waren die Innovationstreiber 2015

Thomson Reuters IP & Science hat in einer Studie die 100 Unternehmen identifiziert, die weltweit die meisten Patente registriert und in der Industrie mit ihren Erfindungen Akzeptanz gefunden haben. Mit 21 Firmen ist die Halbleiter- und Elektronikindustrie mit am stärksten vertreten. lesen

Das Beste vom Besten – Top-Technik punktet mit Top-Design

Red Dot Award 2015

Das Beste vom Besten – Top-Technik punktet mit Top-Design

Red Dot, der rote Punkt, kennzeichnet Außergewöhnliches. Vielen ist er von Lifestyle-Produkten bekannt, doch er ziert auch das Robotersystem ecoZ, den Audi-TTT3-Scheinwerfer und den TAPCON-Spannungsregler. Wir präsentieren eine Auswahl technischer Produkte, die mit dem Red Dot Award 2015 ausgezeichnet wurden. lesen

Erste Eindrücke: Die Neuheiten von der CES 2015

CES 2015: Smart Home, Connected Car, Drohnen und Wearables

Erste Eindrücke: Die Neuheiten von der CES 2015

Die Unterhaltungselektronik nimmt noch immer einen hohen Stellenwert auf der ersten Branchenmesse des Jahres ein. Doch rücken in diesem Jahr auch andere Themen in den Vordergrund. lesen

10 Gadgets für den Fahrradfrühling

Connected Bike: Highlights aus der ELEKTRONIKPRAXIS

10 Gadgets für den Fahrradfrühling

Ähnlich wie beim Auto setzen auch die Hersteller von Fahrrädern und dessen Zubehör immer stärker auf den Einsatz von Elektronik: 10 Gadgets, die den Weg zum Connected Bike pflastern hat unsere Schwesterpublikation ELEKTRONIKPRAXIS für Sie zusammengetragen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46156621 / Definitionen)