HINWEIS 16.5.2020
Mit dem Insider-Build 19628.1 steht DNS over HTTPS (DoH) erstmals unter Windows 10 standardmäßig zur Verfügung. Damit können Anwender DNS-Abfragen verschlüsseln. Das dient nicht nur dem Schutz der Privatsphäre, sondern sorgt auch für mehr Sicherheit.
Microsoft will DNS-Abfragen in Windows mit DNS over HTTPS (DoH) verschlüsseln. Das teilen die Netzwerk-Entwickler Tommy Jensen, Ivan Pashov und Gabriel Montenegro in einem gemeinsam verfassten Blog-Beitrag mit.
Als Motivation nennen die Entwickler den Schutz der Privatsphäre: „Hier im Windows Core Networking Team sind wir daran interessiert, Ihren Traffic so privat wie möglich, schnell und zuverlässig wie möglich zu halten.“ Mit der Unterstützung verschlüsselter DNS-Abfragen in Windows schließe Microsoft eine der letzten verbleibenden Klartext-Domainnamenübertragungen im allgemeinen Webverkehr, schreiben die Entwickler.
Microsoft gibt zu, dass die Umsetzung nicht ohne Probleme verlaufen werde, aber dem höheren Ziel nach Schutz der Privatsphäre der Anwender diene. „Die Bereitstellung von verschlüsselter DNS-Unterstützung ohne Unterbrechung der bestehenden Windows-Geräte-Administrationskonfiguration wird nicht einfach sein. Bei Microsoft glauben wir jedoch, dass wir die Privatsphäre als Menschenrecht behandeln müssen. Wir müssen End-to-End-Cybersicherheit in die Technologie integrieren.“
„Wir glauben auch, dass die Einführung von verschlüsseltem DNS unter Windows dazu beitragen wird, das gesamte Internet-Ökosystem gesünder zu machen. Es wird von vielen angenommen, dass die DNS-Verschlüsselung eine DNS-Zentralisierung erfordert. Dies gilt nur, wenn die verschlüsselte DNS-Einführung nicht universell ist. Um das DNS dezentral zu halten, wird es für Client-Betriebssysteme wie Windows und Internet Service Provider gleichermaßen wichtig sein, verschlüsselte DNS weitestgehend zu übernehmen.
Bei der Implementierung von DNS over HTTPS folgt Microsoft selbst aufgestellten Leitlinien:
Zunächst will Microsoft basierend auf diesen Prinzipien DNS over HTTPS (DoH) im Windows DNS-Client bereitstellen. Allerdings ziele das Windows-Networking-Team darauf ab, „den Benutzern die Verwendung beliebiger Protokolle zu ermöglichen, sodass wir in Zukunft offen für andere Optionen wie DNS über TLS (DoT) sind. Im Moment priorisieren wir die DoH-Unterstützung als diejenige, die am ehesten einen unmittelbaren Nutzen für alle bietet. DoH ermöglicht es uns beispielsweise, unsere bestehende HTTPS-Infrastruktur wiederzuverwenden.“
Wenn Nutzer in Windows einen DNS-Server konfiguriert haben, der auch DoH-Unterstützung bietet, wird die erste Insider-Version mit DoH-Support einfach auf DNS over HTPPS umstellen. „Es gibt inzwischen mehrere öffentliche DNS-Server, die DoH unterstützen, und wenn ein Windows-Benutzer oder -Gerät heute einen von ihnen konfiguriert, verwendet Windows einfach klassisches DNS (ohne Verschlüsselung) für diesen Server. Da diese Server und ihre DoH-Konfigurationen jedoch bekannt sind, kann Windows automatisch auf DoH aktualisieren, während es den gleichen Server verwendet.“
In jedem Fall will Microsoft nicht den vom Benutzer eingestellten DNS-Server ändern: „Wir werden keine Änderungen daran vornehmen, welcher DNS-Server von Windows für die Verwendung durch den Benutzer oder das Netzwerk konfiguriert wurde. Heute entscheiden Benutzer und Administratoren, welcher DNS-Server verwendet werden soll, indem sie das Netzwerk auswählen, dem sie beitreten, oder den Server direkt angeben; Windows mit DoH-Support wird daran nichts ändern. … Wir glauben, dass Administratoren das Recht haben, zu kontrollieren, wohin ihr DNS-Verkehr geht.“
In der Folge will Microsoft dann das User-Interface für die DNS-Konfiguration verbessern, sodass Anwender leichter auf die DNS-Einstellungen zugreifen können. „In zukünftigen Insider-Versionen müssen wir datenschutzfreundlichere Möglichkeiten für unsere Benutzer schaffen, ihre DNS-Einstellungen unter Windows zu ermitteln und diese Einstellungen DoH-fähig zu machen. Dies gibt Benutzern und Administratoren die Möglichkeit, DoH-Server explizit zu konfigurieren.
Es ist begrüßenswert, dass Microsoft in Windows eine systemweite Verschlüsselung von DNS-Abfragen anstrebt. Anders als bei Browsern, die wie Firefox ebenfalls schon eine DNS-Abfrage verschlüsseln können, ist eine systemweite Umsetzung auf Betriebssystemebene natürlich sinnvoller, da dadurch sämtlicher Datenverkehr über einen verschlüsselten DNS-Server läuft und nicht nur die Anfrage des Browsers. Derzeit gibt es noch kein Desktop-Betriebssystem, das standardmäßig die Verschlüsselung von DNS-Abfragen unterstützt.
Bei Mobilbetriebssystem sieht es etwas anders aus. Seit Android 9 gibt es die Möglichkeit, DNS-Datenverkehr zu verschlüsseln. Google hat sich dabei für DNS over TLS (DoT) entschieden.
Während viele Websites heute sicheres HTTP (HTTPS), also eine per TLS verschlüsselte HTTP-Verbindung unterstützen oder gar vorschreiben, wird bei Anfragen an das Domain Name System (DNS) üblicherweise auf eine Verschlüsselung verzichtet. Das ermöglicht es nicht nur, jegliche DNS-Anfragen auszuspähen, sondern auch zu fälschen oder zu manipulieren.
Bereits 2017 hat der Informatiker Dominik Herrmann in seiner Dissertation „Das Internet-Adressbuch bedroht unsere Privatsphäre“ (PDF) nachgewiesen, wie anhand von unverschlüsselten DNS-Abfragen, die Identität eines Internetnutzers ermittelt werden kann. Herrmann sieht eine Zentralisierung der Namensauflösung für die internationale Konzerne wie Google, OpenDNS und Smyantec verantwortlich seien. „Im Jahr 2016 beantworteten allein die DNS-Server von Google schon mehr als 13 Prozent aller DNS-Anfragen pro Tag.“
In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…