DNS-over-HTTPS soll für mehr Sicherheit in Netzwerkumgebungen werden

Domain-Name-System-Anfragen, wie das Aufrufen einer Website im Browser, sind noch häufig unverschlüsselt. Das birgt Sicherheitsrisiken. Um dies zu ändern, nutzt das 2018 vorgestellte DNS-over-HTTPS- (DoH-)Protokoll die etablierte HTTPS-Verschlüsselung.  Ein Diskussionspapier von Eco macht diesbezüglich weitere Vorschläge für mehr Sicherheit in Netzwerkumgebungen. Ausserdem gehen die Eco-Experten davon aus, dass mit den bevorstehenden Updates von „Apple iOS 14“ und „macOS 11“ das noch wenig populäre Thema voraussichtlich stärkere Beachtung finden wird: Beide Betriebssysteme sollen DoH unterstützen.

Ein Ziel des DoH-Protokolls ist es, die Manipulation von DNS-Anfragen für missbräuchliche Zwecke – etwa sogenannte Man-in-the-Middle- (MITM-)Angriffe – zu verhindern. Bei MITM-Angriffen „hört“ der Angreifer die DNS-Anfragen des Nutzers ab und leitet ihn unbemerkt zu einem anderen Ziel um – zum Beispiel zu einer gefälschten Bankwebsite. Die Verschlüsselung von DNS-Anfragen ist derzeit die einzige brauchbare Möglichkeit, die zur Bekämpfung solcher Angriffe zur Verfügung steht.

 

DoH verbessert die Privatsphäre und Sicherheit der Benutzer

Apple, Mozilla, Microsoft, Google und weitere Internetfirmen wollen DoH in ihre Dienste und Anwendungen einbinden oder haben das bereits umgesetzt. Während DNS-Verschlüsselung den Vorteil hat, die Privatsphäre und Sicherheit der Benutzer zu verbessern, hat sich rund um das DoH-Protokoll eine Diskussion entwickelt. Das betrifft die Umgehung rechtsverbindlicher Sperrverfügungen, die Möglichkeit, das Nutzerverhalten mithilfe von Tracking-Funktionen zu verfolgen und Fragen der Selbstbestimmung des einzelnen Nutzers. Diese Punkte sollten bei der Einführung von DoH-Diensten berücksichtigt werden.

„Die Verschlüsselung von DNS mithilfe von DoH bietet Nutzern die Möglichkeit, ihre Aktivitäten und ihre Kommunikation in einer nicht vertrauenswürdigen Umgebung, wie einem öffentlichen WiFi-Hotspot, zu schützen“, sagt Klaus Landefeld, stellvertretender Vorstandsvorsitzender des Eco – Verbands der Internetwirtschaft e. V. Er sieht sowohl die Chancen als auch die Herausforderungen von DoH. „In vertrauenswürdigen Netzwerkumgebungen, wie einem Unternehmensnetzwerk, können jedoch DoH-Einstellungen in einer Anwendung, die den DNS-Verkehr an einen externen DNS-Provider senden, problematisch sein.” Er erklärt weiter, dass Nutzer und Unternehmen in der Lage sein müssen, eine bewusste Entscheidung darüber zu treffen, wo ihre DNS-Anfragen verarbeitet werden.

 

Empfehlungen für die Implementierung und den Betrieb von DoH

„Angesichts des wachsenden Interesses an DoH sollten DNS-Anbieter, Netzbetreiber und Internet-Dienstleister ermutigt werden, eigene DoH-Resolver bereitzustellen, um zu gewährleisten, dass sie ihren Kunden aktuelle, sichere und hochleistungsfähige Services anbieten und weiterhin für sicherheitsrelevante Aktivitäten wie das Filtern von Malware und Sperranforderungen verantwortlich sein können“, so Landefeld weiter.

Um einige der recht komplexen Fragen – sowohl rechtlicher als auch technischer Natur – zu klären und Empfehlungen für die Implementierung und den Betrieb von DoH zu geben, hat eine Gruppe von Eco-Mitgliedern gemeinsam ein englischsprachiges Diskussionspapier zu DNS-over-HTTPS geschrieben. Das Papier enthält Hintergrundinformationen und Erläuterungen für nicht-technische Leser sowie Handlungsempfehlungen, um DoH datenschutzkonform und nutzerfreundlich einzusetzen.