Seit Android 9 können Anfragen an einen DNS-Server über DNS-over-TLS (DoT) verschlüsselt werden. Google und Cloudflare bieten DNS-Server, die diese Technik unterstützen. Es gibt aber auch Alternativen, denen man in Sachen Privatsphäre eher vertrauen sollte.
Während viele Websites heute sicheres HTTP (HTTPS), also eine per TLS verschlüsselte HTTP-Verbindung unterstützen oder gar vorschreiben, wird bei Anfragen an das Domain Name System (DNS) üblicherweise auf eine Verschlüsselung verzichtet. Das ermöglicht es nicht nur, jegliche DNS-Anfragen auszuspähen, sondern auch zu fälschen oder zu manipulieren.
Bereits 2017 hat der Informatiker Dominik Herrmann in seiner Dissertation „Das Internet-Adressbuch bedroht unsere Privatsphäre“ (PDF) nachgewiesen, wie anhand von unverschlüsselten DNS-Abfragen, die Identität eines Internetnutzers ermittelt werden kann. Herrmann sieht eine Zentralisierung der Namensauflösung für die internationale Konzerne wie Google, OpenDNS und Smynatec verantwortlich seien. „Im Jahr 2016 beantworteten allein die DNS-Server von Google schon mehr als 13 Prozent aller DNS-Anfragen pro Tag.“
Google bietet die TLS-Verschlüsselung seines öffentlichen DNS-Servers seit Januar an. „Ab heute können Nutzer Abfragen zwischen ihren Geräten und Google Public DNS mit DNS-over-TLS sichern und dabei ihre Privatsphäre und Integrität wahren“, beschrieb Google in einem Blogbeitrag die neue Funktion, ohne das Offensichtliche zu erwähnen: da Google selbst der Empfänger der Abfragen ist, muss es sie entschlüsseln, um sie auflösen zu können. Google kennt also weiterhin alle Websites, die über seinen Public DNS aufgerufen werden.
Wer also am Schutz der Privatsphäre interessiert ist, wählt besser einen anderen Server als den, der zum weltweit größten Werbekonzern gehört. Angebote von gemeinnützigen Organisationen sind dafür besser geeignet. Eine Liste von DNS-Servern, die DNS-over-TLS bieten, findet sich beispielsweise auf dnsprivacy.org und privacy-handbuch.de. Einige DNS-Server verschlüsseln nicht nur DNS-Anfragen, sondern filtern auch Webseiten, die Werbung ausspielen oder für betrügerische Zwecke wie Phishing genutzt werden.
DNS-Server mit DNS over TLS (DoT) | ||
Anbieter | Host-Name | Server-Standort |
---|---|---|
Adguard | dns.adguard.com | weltweit |
Digitalcourage | dns2.digitalcourage.de | Deutschland |
Dismail | fdns1.dismail.de | Deutschland |
getdnsapi.net | getdnsapi.net | Irland |
SecureDNS.eu | ads-dot.securedns.eu | Niederlande |
SecureDNS.EU | dot.securedns.eu | Niederlande |
Sinodun.com | dnsovertls.sinodun.com | Niederlande |
Sinodun.com | dnsovertls1.sinodun.com | Niederlande |
Uncensored DNS | unicast.uncensoreddns.com | Dänemark |
Unter Android nennt sich die Option zur Konfiguration eines DNS-Servers mit DNS-over-TLS „Privates DNS“. Sie befindet sich unter Einstellungen – Netzwerk & Internet. Auf Samsung-Smartphones findet man sie unter Einstellungen – Verbindungen – Weitere Verbindungseinstellungen. Dort trägt man einen DNS-Server mit TLS-Verschlüsselung ein (siehe Tabelle oben). Diese Einstellungen gilt für WLAN- wie für Mobilfunkverbindungen.
Allerdings ist nicht gewährleistet, dass der gewählte DNS-Server mit TLS-Verschlüsselung von jeder App für eine DNS-Anfrage genutzt wird. Im Test mit einem DNS-Server, der auch Werbung blockt, zeigt sich, dass zum Beispiel der Browser Samsung Internet Werbung weiterhin anzeigt, während Firefox und Chrome den gewählten DNS-Server nutzen und demzufolge auch Werbung nicht anzeigen. Entwickler haben also die Möglichkeit, die neue Einstellung „Privates DNS“ zu umgehen. Woran das liegt, ist derzeit nicht bekannt. ZDNet.de hat eine Anfrage bei Google und Samsung gestellt.
Noch bieten Desktop-Betriebssysteme wie Linux, macOS und Windows standardmäßig keine Unterstützung für DNS-over-TLS. Will man DNS-Anfragen verschlüsseln, muss man sich mit dem Tool Stubby behelfen, das einen lokalen DNS-Auflösedienst mit TLS-Unterstützung realisiert.
Wer Firefox nutzt, kann die Verschlüsselung DNS-over-HTTPs nutzen, indem man in den Netzwerkeinstellungen des Mozilla-Browsers die entsprechende Option aktiviert. Standardmäßig ist dort ein DNS-Server von Cloudflare eingetragen. Man kann diese Einstellungen aber auch anpassen.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…