slider

DNS over HTTPS (DoH) - Prof. Dr. Norbert Pohlmann

DNS over HTTPS (DoH)

DNS over HTTPS (DoH) - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Die Idee von DNS over HTTPS (DoH) ist, dass sich die Manipulation von DNS-Anfragen für missbräuchliche Zwecke verhindern lässt.
DNS-Anfrage an den DNS-Server die von Browsern, E-Mail-Komponenten, SIP-Client usw. erfolgen, werden in der Regel unverschlüsselt in der Kommunikationsinfrastruktur durchgeführt.
Das damit einhergehende Sicherheitsrisiko bezüglich Privatheit und IT-Sicherheit könnte mit dem DoH-Protokoll insbesondere bei der Nutzung von öffentlichen Netzen verringert werden, weil die DNS-Anfrage aus der Anwendung zu einem DoH-Dienst, bei dem die Kommunikation verschlüsselt und integritätsgesichert über HTTPS realisiert ist und damit einige Angriffe nicht mehr umgesetzt werden können.

Traditionelles Domain Name System (DNS)
Das Domain Name System (DNS) wird hauptsächlich benutzt, um Domänen-Namen auf IP-Adressen abzubilden.
Bei der Nutzung eines traditionelles Domain Name System (DNS) wird in einem ersten Schritt das Betriebssystem des suchenden IT-Systems (Notebook, Smartphone usw.) durch die Anwendung, z.B. den Browser initiiert, gefragt, welcher DNS-Resolver – der typischerweise im Heim- oder Office-Router oder in einem öffentlichen Hotspot integriert ist – verwendet werden soll.
Dieser DNS-Resolver ist dafür verantwortlich, die IP-Adresse zu finden, die passend zum Domänen-Namen ist, die ein Nutzer in seinem IT-System (Notebook, Smartphone, …) im Browser eingegeben hat. Falls der DNS-Resolver im Router diese Information noch von einem früheren Besuch gespeichert hat, kann er diese sofort zurückgeben.
Ist dies nicht der Fall, leitet der DNS-Resolver im Router die Anfrage an den DNS-Resolver (Name Server) des ISPs oder des Unternehmens weiter. Wenn er diese Anfrage erhält, wird überprüft, ob die passende IP-Adresse zum Domänen-Namen in seinen Cache gespeichert ist. Falls ja, sendet er das Ergebnis sofort zurück und falls nicht, startet er eine rekursive Auflösung. Der DNS-Resolver (Name-Server) hat dann die Aufgabe, solange nach einem passenden Name-Server für die entsprechende Domäne zu suchen, bis er die Anfrage beantworten kann.
Im  Fall der traditionellen DNS-Anfrage kann ein Angreifer prinzipiell die DNS-Kommunikation im Klartext mitlesen und manipulieren.

Traditionelles Domain Name System (DNS) - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

DNS über HTTPS
Das DoH-Protokoll ändert im Prinzip nur den Kommunikationsweg zum DNS-Resolver (Name Server). Statt das unverschlüsselte DNS-Protokolls zum UDP-Port 53 zu verwenden, wird die DNS-Antrage jetzt über eine TLS verschlüsselt und integritätsgesichert Kommunikation (HTTPS) zu einem Web-Server (DoH-Server) zum TCP-Port 443 gesendet. Die Anwendung, zum Beispiel der Browser, E-Mail- oder SIP-Client kann dann – unabhängig von der im Betriebssystem beschriebenen und gewünschten DNS-Infrastruktur – den DNS-Dienst über einen Web-Server-Dienst (DoH-Server) nutzen.

DNS über HTTPS - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann


Damit DoH bringt grundsätzlich Verbesserungen für den Schutz der Nutzer, birgt aber auch neue Risiken. Auf der einen Seite hat die DNS-Verschlüsselung den Vorteil, dass die Privatsphäre und Sicherheit der Nutzer – insbesondere in unsicheren Umgebungen – erhöht wird. Auf der anderen Seite lassen sich jedoch durch die DNS-Verschlüsselung typische und hilfreiche Filtertechniken umgehen sowie neue Möglichkeiten der Analyse des Nutzerverhaltens in den notwendigen DoH-Servern umsetzen. Diese Punkte sollten bei der Einführung von DoH-Diensten berücksichtigt werden.

Mit der Einführung von DoH sind einige recht komplexe Fragen – sowohl rechtlicher als auch technischer Natur – verbunden. Diese Fragestellungen von DoH werden in einem englischsprachiges Diskussionspapier, das von Mitgliedern des Verbands der Internetwirtschaft (eco) verfasst wurde, behandelt. Das Papier enthält insgesamt neben Empfehlungen für die Umsetzung und den Betrieb auch Hintergrundinformationen und Erläuterungen für nicht-technische Leser sowie Handlungsempfehlungen, um DoH datenschutzkonform und nutzerfreundlich einzusetzen.


Weitere Informationen zum Begriff “DNS over HTTPS (DoH)”:

Artikel: “DNS over HTTPS (DoH) – Schutz der Privatsphäre und Sicherheit auf Protokollebene”

eco – Discussion Paper: “DNS over HTTPS (DoH)”

Informationen über das Lehrbuch: „Lehrbuch Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
DNS over HTTPS (DoH) - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
DNS over HTTPS (DoH) Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten