Google spendiert seinen öffentlichen DNS-Servern TLS-Verschlüsselung

Google hat seinem DNS-Dienst Public DNS eine neue Funktion spendiert. Sie unterstützt ab sofort die DNS-over-TLS-Spezifikationen, damit Anfragen an das Domain Name System (DNS) nicht mehr unverschlüsselt verschickt werden.

Während viele Websites heute sicheres HTTP (HTTPS), also eine per TLS verschlüsselte HTTP-Verbindung unterstützen oder gar vorschreiben, wird bei Anfragen an das Domain Name System üblicherweise auf eine Verschlüsselung verzichtet. Das ermöglicht es nicht nur, jegliche DNS-Anfragen auszuspähen, sondern auch zu fälschen oder zu manipulieren.

„Ab heute können Nutzer Abfragen zwischen ihren Geräten und Google Public DNS mit DNS-over-TLS sichern und dabei ihre Privatsphäre und Integrität wahren“, sagte Google, ohne das Offensichtliche zu erwähnen: da Google selbst der Empfänger der Abfragen ist, muss es sie entschlüsseln, um sie auflösen zu können. Google kennt also weiterhin alle Websites, die über seinen Public DNS aufgerufen werden.

Googles DNS-Server nutzen die IP-Adressen 8.8.8.8 und 8.8.8.4. Sie können in den Einstellungen eines Routers oder eines Betriebssystems hinterlegt werden. Unter Windows und Linux wird jedoch noch eine Resolver wie Stubby benötigt, um DNS-over-TLS nutzen zu können.

Einfacher geht es mit Android ab Version 9 Pie. Über die Funktion „Privates DNS“ kann ein DNS-Dienst, der Verschlüsselung unterstützt, voreingestellt werden. Für Googles Public DNS muss der Hostname „dns.google“ verwendet werden. Alternativ kann aber auch Cloudflares DNS-Resolver „1dot1dot1dot1.cloudflare-dns.com“ hinterlegt werden, der alle DNS-Anfragen verschlüsselt an 1.1.1.1 weiterleitet – Cloudflares eigenen DNS-Server. Vorteil der Cloudflare-Lösung: Sie steht als App auch für ältere Android-Versionen und auch für iOS zur Verfügung.