DNS over HTTPS (DoH) - Prof. Dr. Norbert Pohlmann

Was ist DNS over HTTPS (DoH)?

Die Idee von DNS over HTTPS (DoH) ist, dass sich die Manipulation von DNS-Anfragen für missbräuchliche Zwecke verhindern lässt.
DNS-Anfrage an den DNS-Server die von Browsern, E-Mail-Komponenten, SIP-Client usw. erfolgen, werden in der Regel unverschlüsselt in der Kommunikationsinfrastruktur durchgeführt.
Das damit einhergehende Sicherheitsrisiko bezüglich Privatheit und IT-Sicherheit könnte mit dem DoH-Protokoll insbesondere bei der Nutzung von öffentlichen Netzen verringert werden, weil die DNS-Anfrage aus der Anwendung zu einem DoH-Dienst, bei dem die Kommunikation verschlüsselt und integritätsgesichert über HTTPS realisiert ist und damit einige Angriffe nicht mehr umgesetzt werden können.

Traditionelles Domain Name System (DNS)

Das Domain Name System (DNS) wird hauptsächlich benutzt, um Domänen-Namen auf IP-Adressen abzubilden.
Bei der Nutzung eines traditionelles Domain Name System (DNS) wird in einem ersten Schritt das Betriebssystem des suchenden IT-Systems (Notebook, Smartphone usw.) durch die Anwendung, z.B. den Browser initiiert, gefragt, welcher DNS-Resolver – der typischerweise im Heim- oder Office-Router oder in einem öffentlichen Hotspot integriert ist – verwendet werden soll.
Dieser DNS-Resolver ist dafür verantwortlich, die IP-Adresse zu finden, die passend zum Domänen-Namen ist, die ein Nutzer in seinem IT-System (Notebook, Smartphone, …) im Browser eingegeben hat. Falls der DNS-Resolver im Router diese Information noch von einem früheren Besuch gespeichert hat, kann er diese sofort zurückgeben.
Ist dies nicht der Fall, leitet der DNS-Resolver im Router die Anfrage an den DNS-Resolver (Name Server) des ISPs oder des Unternehmens weiter. Wenn er diese Anfrage erhält, wird überprüft, ob die passende IP-Adresse zum Domänen-Namen in seinen Cache gespeichert ist. Falls ja, sendet er das Ergebnis sofort zurück und falls nicht, startet er eine rekursive Auflösung. Der DNS-Resolver (Name-Server) hat dann die Aufgabe, solange nach einem passenden Name-Server für die entsprechende Domäne zu suchen, bis er die Anfrage beantworten kann.
Im  Fall der traditionellen DNS-Anfrage kann ein Angreifer prinzipiell die DNS-Kommunikation im Klartext mitlesen und manipulieren.

DNS über HTTPS

Das DoH-Protokoll ändert im Prinzip nur den Kommunikationsweg zum DNS-Resolver (Name Server). Statt das unverschlüsselte DNS-Protokolls zum UDP-Port 53 zu verwenden, wird die DNS-Antrage jetzt über eine TLS verschlüsselt und integritätsgesichert Kommunikation (HTTPS) zu einem Web-Server (DoH-Server) zum TCP-Port 443 gesendet. Die Anwendung, zum Beispiel der Browser, E-Mail- oder SIP-Client kann dann – unabhängig von der im Betriebssystem beschriebenen und gewünschten DNS-Infrastruktur – den DNS-Dienst über einen Web-Server-Dienst (DoH-Server) nutzen.

Damit DoH bringt grundsätzlich Verbesserungen für den Schutz der Nutzer, birgt aber auch neue Risiken. Auf der einen Seite hat die DNS-Verschlüsselung den Vorteil, dass die Privatsphäre und Cyber-Sicherheit der Nutzer – insbesondere in unsicheren Umgebungen – erhöht wird. Auf der anderen Seite lassen sich jedoch durch die DNS-Verschlüsselung typische und hilfreiche Filtertechniken umgehen sowie neue Möglichkeiten der Analyse des Nutzerverhaltens in den notwendigen DoH-Servern umsetzen. Diese Punkte sollten bei der Einführung von DoH-Diensten berücksichtigt werden.

Mit der Einführung von DoH sind einige recht komplexe Fragen – sowohl rechtlicher als auch technischer Natur – verbunden. Diese Fragestellungen von DoH werden in einem englischsprachiges Diskussionspapier, das von Mitgliedern des Verbands der Internetwirtschaft (eco) verfasst wurde, behandelt. Das Papier enthält insgesamt neben Empfehlungen für die Umsetzung und den Betrieb auch Hintergrundinformationen und Erläuterungen für nicht-technische Leser sowie Handlungsempfehlungen, um DoH datenschutzkonform und nutzerfreundlich einzusetzen.

Weitere Informationen zum Begriff “DNS over HTTPS (DoH)”:

„DNS over HTTPS (DoH) – Schutz der Privatsphäre und Sicherheit auf Protokollebene“

„Von überall her – Internetdienste vor DDoS-Angriffen schützen“

„IT-Sicherheit konsequent und effizient umsetzen“

„Vertrauen – ein elementarer Aspekt der digitalen Zukunft“

„Mit Vertrauenswürdigkeit in eine sichere Zukunft“

„Identity Provider zur Verifikation der vertrauenswürdigen digitalen Identität“

„Lehrbuch Cyber-Sicherheit“

„Übungsaufgaben und Ergebnisse zum Lehrbuch Cyber-Sicherheit“

„Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“

„Vorlesungen zum Lehrbuch Cyber-Sicherheit“

„TeleTrusT IT-Sicherheitsagenda 2029 – IT-Sicherheit in der Digitalisierung“

„Security: Sich an den Symptomen abarbeiten – oder es doch einmal mit dem Grundkonstrukt versuchen?“

„Self-Sovereign Identity als Treiber einer dezentralen Revolution“

„Künstliche Intelligenz (KI) und Cyber-Sicherheit“

„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“

„Marktplatz IT-Sicherheit“

„It’s all about Trust!“

Summary

Article Name

DNS over HTTPS (DoH)

Description

Bei DNS over HTTPS (DoH) wird das DNS-Protokoll statt unverschlüsselte über den UDP-Port 53 über eine TLS verschlüsselte und integritätsgesicherte Kommunikation (HTTPS) zu einem Web-Server (DoH-Server) zum TCP-Port 443 umgesetzt. Dadurch werden Manipulationen verhindert.

Author

Prof. Norbert Pohlmann

Publisher Name

Institut für Internet-Sicherheit – if(is)

Publisher Logo