DNS over TLS: Das bessere Sicherheitskonzept

Das Domain Name System (DNS) sorgt dafür, dass wir problemlos durchs Netz surfen können. Gäbe es das praktische System nicht, müssten wir jedes Mal eine IP-Adresse in den Browser eintragen, um eine Website öffnen zu können. Dank des DNS reichen leicht merkbare URLs. Doch der Komfort funktionierte bisher nur auf Kosten der Sicherheit. Dank DNS over TLS (DoT) könnten die Gefahren beim Surfen nun stark minimiert werden. Wie funktioniert die Technik?

Das Domain Name System ist ein praktisches Konzept, doch erfunden wurde es in einer Zeit, als das Internet noch sehr viel kleiner und die Sicherheitsbedenken um einiges geringer waren als heutzutage. DNS funktioniert, indem jeder Client (also beispielsweise der heimische PC) bei einem sogenannten Nameserver nach der richtigen IP-Adresse zu einem eingegebenen Domain-Namen fragt. Sollte sich der Eintrag nicht mehr im Cache von Browser, PC oder Router befinden, muss also eine Verbindung über das Internet stattfinden. Bei der Kommunikation zwischen Client und DNS-Server können dann Angriffe stattfinden, denn die Kommunikation im DNS findet zum größten Teil vollkommen unverschlüsselt statt.

Internetkriminellen wird es somit sehr leicht gemacht, die Kommunikation zwischen den beteiligten Teilnehmern auszulesen oder zu manipulieren. Anfragen werden dabei abgefangen und falsche Antworten zurückgesendet. Diese Technik ist als DNS Hijacking bekannt: Nutzer gelangen so auf Seiten, die sie nicht aufrufen sollten. Im besten Fall werden Nutzer dort nur mit übermäßiger Werbung drangsaliert. Im schlimmsten Fall verseucht man sein Gerät mit Malware oder wird Opfer einer Phishing-Attacke. Dabei kann der Angreifer sensibelste Daten einsammeln.

Auch Regierungen und Internetprovider nutzen die Schwachstellen des DNS aus, um etwa zusätzliche Werbung zu schalten oder bestimmte Websites zu blockieren – sei es, um lokale Gesetze im Internet durchzusetzen oder um ungewollte Meinungen zu zensieren. Sowohl gegen die kriminellen Aktivitäten als auch diese legalen Umleitungen kann eine verschlüsselte Verbindung mit DoT helfen.

Das Transport-Layer-Security-Protokoll (TLS) arbeitet auf der obersten Schicht des TCP/IP-Protokollstapels und ist damit fester Bestandteil des Internets und vieler anderer Netzwerke. Am bekanntesten dürfte das Protokoll im Kontext von HTTPS sein. TLS hilft hier bereits, Übertragungen vom Client zum Webserver sicher zu gestalten. Zukünftig soll TLS auch die Kommunikation im DNS sicherer machen.

Bei DNS over TLS läuft der Datenaustausch über einen verschlüsselten Tunnel. Nur die beiden Teilnehmer dieser Kommunikation können die Daten entschlüsseln und verarbeiten. Das macht eine Man-in-the-Middle-Attacke unbrauchbar: Der Angreifer kann die Daten nicht verarbeiten. Dafür läuft der Transport über einfache TCP-Verbindungen und den standardisierten Port 853. Damit ist für DoT ein eigener Port vorgesehen, der nur für den Austausch von Domain-Informationen gedacht ist.

Sowohl auf Server- als auch auf Client-Seite muss die Technik allerdings unterstützt werden. Inzwischen gibt es mehrere Anbieter im Internet, die entsprechende DNS-Server bereitstellen. Damit man mit seinem Desktop-PC oder Laptop auf diese zugreifen kann, muss man allerdings softwaretechnisch nachrüsten. Für Windows und Linux gibt es entsprechende Lösungen. Smartphones mit der neuesten Android-Version können von Haus aus DNS over TLS verwenden.

Da das klassische DNS keinerlei Sicherheitsvorkehrungen vorsieht, kann man mit DoT wenig falsch machen. Durch die Verschlüsselung haben Internetkriminelle keine Chance mehr, den Service für ihre Attacken auszunutzen. Ebenso können Regierungen Ihre Zensurmaßnahmen nicht mehr über das DNS regeln – zumindest theoretisch. DNS over TLS wird nämlich von vielen Experten dafür kritisiert, dass es einen spezifischen Port verwendet. So kann zwar nicht erkannt werden, welche Website aufgerufen werden soll; es ist aber ersichtlich, dass eine DNS-Anfrage verschickt wird. Datenschützer sehen darin ein Problem. Viele Netzwerk-Administratoren finden diesen Schritt aber wichtig, um einen besseren Überblick über die Aktivitäten im Netzwerk zu haben.

Probleme entstehen derzeit auch noch durch die fehlende Verbreitung von DNS over TLS. Abgesehen von Android 9 müssen alle Betriebssysteme durch zusätzliche Software nachgerüstet werden. Auch serverseitig ist die Technik (noch) nicht so weit verbreitet: Zwar findet man bereits mehrere Anbieter, aber noch lange nicht so viele, wie man es vom klassischen DNS her kennt. Manche Experten sorgen sich deshalb darum, dass ein Monopol entsteht. Bisher wird ein großer Teil von Nameservern durch Internetprovider zur Verfügung gestellt, nun könnten andere Unternehmen – und zwar international gesehen sehr viel weniger – DNS-Anfragen bei sich bündeln.

Neben DoT wird derzeit noch eine weitere Technik diskutiert, die die Namensauflösung sicherer machen kann: DNS over HTTPS (DoH). Beiden Lösungen ist gemein, dass sie die Kommunikation verschlüsseln. Der größte Unterschied liegt im Port, der dafür verwendet wird. Und was wie eine Kleinigkeit klingt, hat zu einem tiefen Graben zwischen Expertengruppen geführt: Während DNS over TLS einen eigenen Port einsetzt, nutzt DoH Port 443 – der auch für alle weiteren HTTPS-Verbindungen verwendet wird, z. B. für gewöhnliche Website-Aufrufe. Damit lässt sich eine DNS-Anfrage nicht vom restlichen Verkehr beim Surfen im Web unterscheiden.

Unter datenschutztechnischen Gesichtspunkten ist das ein Vorteil: Wenn keine DNS-Anfrage erkannt wird, kann auch nicht versucht werden, diese zu unterbinden. Einige Netzwerkadministratoren sehen dabei allerdings die Gefahr, dass sie die Kontrolle über den Netzwerk-Traffic verlieren und deshalb die Kommunikation nicht mehr korrekt verwalten können.

So haben sich zwei Lager gebildet, die jeweils ihre Lösung vorantreiben möchten. Hinter DoT steckt in erster Linie die IETF, eine Organisation, die sich mit der Weiterentwicklung des Internets befasst. Die IETF entwickelt Standards, die in vielen Fällen von den anderen Akteuren des World Wide Webs aufgegriffen werden. Hinter DNS over HTTPS stehen wiederum andere Unternehmen und Organisationen. So wird diese Lösung beispielsweise von der Mozilla Foundation und Google angeschoben.