Android 9: DNS-Abfragen verschlüsseln mit DNS-over-TLS (DoT)

Android 9 unterstützt DNS-Server, die Anfragen über DNS-over-TLS (DoT) verschlüsseln. Damit wird der Schutz der Privatsphäre verbessert. Leider hält sich nicht jede App an das neue Verfahren.

Seit Android 9 können Anfragen an einen DNS-Server über DNS-over-TLS (DoT) verschlüsselt werden. Google und Cloudflare bieten DNS-Server, die diese Technik unterstützen. Es gibt aber auch Alternativen, denen man in Sachen Privatsphäre eher vertrauen sollte.

Während viele Websites heute sicheres HTTP (HTTPS), also eine per TLS verschlüsselte HTTP-Verbindung unterstützen oder gar vorschreiben, wird bei Anfragen an das Domain Name System (DNS) üblicherweise auf eine Verschlüsselung verzichtet. Das ermöglicht es nicht nur, jegliche DNS-Anfragen auszuspähen, sondern auch zu fälschen oder zu manipulieren.

Bereits 2017 hat der Informatiker Dominik Herrmann in seiner Dissertation „Das Internet-Adressbuch bedroht unsere Privatsphäre“ (PDF) nachgewiesen, wie anhand von unverschlüsselten DNS-Abfragen, die Identität eines Internetnutzers ermittelt werden kann. Herrmann sieht eine Zentralisierung der Namensauflösung für die internationale Konzerne wie Google, OpenDNS und Smynatec verantwortlich seien. „Im Jahr 2016 beantworteten allein die DNS-Server von Google schon mehr als 13 Prozent aller DNS-Anfragen pro Tag.“

DNS-Server mit DNS-oder-TLS (Dot)

Google bietet die TLS-Verschlüsselung seines öffentlichen DNS-Servers seit Januar an. „Ab heute können Nutzer Abfragen zwischen ihren Geräten und Google Public DNS mit DNS-over-TLS sichern und dabei ihre Privatsphäre und Integrität wahren“, beschrieb Google in einem Blogbeitrag die neue Funktion, ohne das Offensichtliche zu erwähnen: da Google selbst der Empfänger der Abfragen ist, muss es sie entschlüsseln, um sie auflösen zu können. Google kennt also weiterhin alle Websites, die über seinen Public DNS aufgerufen werden.

Wer also am Schutz der Privatsphäre interessiert ist, wählt besser einen anderen Server als den, der zum weltweit größten Werbekonzern gehört. Angebote von gemeinnützigen Organisationen sind dafür besser geeignet. Eine Liste von DNS-Servern, die DNS-over-TLS bieten, findet sich beispielsweise auf dnsprivacy.org und privacy-handbuch.de. Einige DNS-Server verschlüsseln nicht nur DNS-Anfragen, sondern filtern auch Webseiten, die Werbung ausspielen oder für betrügerische Zwecke wie Phishing genutzt werden.

DNS-Server mit DNS over TLS (DoT)

Anbieter Host-Name Server-Standort
Adguard dns.adguard.com weltweit
Digitalcourage dns2.digitalcourage.de Deutschland
Dismail fdns1.dismail.de Deutschland
getdnsapi.net getdnsapi.net Irland
SecureDNS.eu ads-dot.securedns.eu Niederlande
SecureDNS.EU dot.securedns.eu Niederlande
Sinodun.com dnsovertls.sinodun.com Niederlande
Sinodun.com dnsovertls1.sinodun.com Niederlande
Uncensored DNS unicast.uncensoreddns.com Dänemark

Android 9: DNS-Server mit DNS-over-TLS (Dot) konfigurieren

Unter Android nennt sich die Option zur Konfiguration eines DNS-Servers mit DNS-over-TLS „Privates DNS“. Sie befindet sich unter Einstellungen – Netzwerk & Internet. Auf Samsung-Smartphones findet man sie unter Einstellungen – Verbindungen – Weitere Verbindungseinstellungen. Dort trägt man einen DNS-Server mit TLS-Verschlüsselung ein (siehe Tabelle oben). Diese Einstellungen gilt für WLAN- wie für Mobilfunkverbindungen.

Android 9: DNS-over-TLS für DNS-Abfragen aktivieren (Screenshot: ZDNet.de)

Allerdings ist nicht gewährleistet, dass der gewählte DNS-Server mit TLS-Verschlüsselung von jeder App für eine DNS-Anfrage genutzt wird. Im Test mit einem DNS-Server, der auch Werbung blockt, zeigt sich, dass zum Beispiel der Browser Samsung Internet Werbung weiterhin anzeigt, während Firefox und Chrome den gewählten DNS-Server nutzen und demzufolge auch Werbung nicht anzeigen. Entwickler haben also die Möglichkeit, die neue Einstellung „Privates DNS“ zu umgehen. Woran das liegt, ist derzeit nicht bekannt. ZDNet.de hat eine Anfrage bei Google und Samsung gestellt.

Privates DNS unter Android 9: Samsung Internet (links) hält sich nicht an die DNS-Einstellung, während Firefox (mitte) und Chrome (rechts) den DNS-Server mit Werbefilter nutzen. Offenbar müssen Entwickler ihre Apps noch auf die neue Option für Privates DNS unter Android 9: Samsung Internet (links) hält sich nicht an die DNS-Einstellung, während Firefox (mitte) und Chrome (rechts) den DNS-Server mit Werbefilter nutzen. Offenbar müssen Entwickler ihre Apps noch auf die neue Option für „Privates DNS“ anpassen (Bild: ZDNet.de).

DNS-over-TLS unter Desktop-Betriebssystemen

Noch bieten Desktop-Betriebssysteme wie Linux, macOS und Windows standardmäßig keine Unterstützung für DNS-over-TLS. Will man DNS-Anfragen verschlüsseln, muss man sich mit dem Tool Stubby behelfen, das einen lokalen DNS-Auflösedienst mit TLS-Unterstützung realisiert.

Wer Firefox nutzt, kann die Verschlüsselung DNS-over-HTTPs nutzen, indem man in den Netzwerkeinstellungen des Mozilla-Browsers die entsprechende Option aktiviert. Standardmäßig ist dort ein DNS-Server von Cloudflare eingetragen. Man kann diese Einstellungen aber auch anpassen.

Firefox: DNS over HTTPS (Screenshot: ZDNet.de)

Themenseiten: Datenschutz, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Android 9: DNS-Abfragen verschlüsseln mit DNS-over-TLS (DoT)

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *