Nicht alles, was man auf den ersten Blick denkt und was auch vielfach geschrieben wird, trifft in Bezug auf DoT und DoH nämlich zu:
Stellen wir uns das mal ganz praktisch vor: ich öffne meinen Browser, tippe eine URL (Uniform Resource Locator) ein, der Browser stellt daraufhin eine Anfrage an einen wohlbekannten DNS-Server, woraufhin mein Browser die geforderte Webseite abruft. Ein außenstehender Beobachter erkennt den DNS-Traffic anhand der aufgerufenen IP-Adresse (bspw.: 8.8.8.8) und sieht nachher HTTPS Pakete in Richtung eines Web-Servers. Preisfrage: was stand in den verschlüsselten Paketen zum DNS-Server?
Das Ziel der Privatsphäre wird also gar nicht erreicht. Denn es ist durchaus davon auszugehen, dass jemand, dem es gelingt, meinen DNS-Traffic abzugreifen, das für HTTPS ebenso schafft. Ein Profil mittels Meta-Daten kann also durchaus generiert werden. Anders gesagt: die Geheimdienste müssen in ihre Schnüffelprogramme IP-Adresse in Namen auflösen, statt nur DNS mitzulesen. Das ist nicht sonderlich schwer: dafür gibt es das DNS.
Was man mit beiden Verfahren allerdings durchaus erreicht bzw. erreichen kann, sind die Datenintegrität und die Authentizität des rekursiven DNS-Severs. Beim Aufbau der HTTPS- bzw. der TLS-Verbindung kann das Gegenüber, also der DNS-Server, mittels Zertifikate identifiziert werden. Eine Änderung der Daten während der Übertragung ist bei Verschlüsselung ohnehin nicht möglich.
Mal ehrlich: das Löschen von DNS-Einträge gegen Schwerkriminalität? Access-Listen sind dafür bedeutend besser geeignet; die gibt es übrigens mittlerweile auch mit DNS-basierten Einträgen.
Fassen wir mal zusammen:
- DoH und DoT verschlüsseln die Strecke zwischen Client und rekursivem Server.
Aber: jemand, der die Leitung abhört, sieht zwar die DNS-Anfragen nicht, kann aber erkennen, auf welche Systeme generell zugegriffen wird.
- Der rekursive DNS-Server kann authentifiziert werden.
Aber: ob der rekursive DNS-Server die korrekte Antwort bekam, kann der Client nicht prüfen.
Damit bleibt die wirklich spannende Frage beim DNS aus Sicht des Clients offen: Stimmt die Antwort? An dieser Stelle würde DNSSEC helfen, aber dann kann man die Frage stellen: Wofür benötigt man das ganze neue Zeug eigentlich? DNSSEC könnte auch der Client übernehmen.
Das wiederum wirft die Frage auf: Wer wären denn die Gewinner bei Einführung der Verfahren?
Die bekannten DNS-Server von Google (8.8.8.8 und 8.8.4.4 sowie deren IPv6 Pendants) unterstützen Anfragen über DoT und DoH. Beim Vorreiter von DoH ist bei Firefox Cloudflare der voreingestellte Server. Daneben gibt es weitere Bertreiber von DNS-Servern, die DoH und/oder DoT unterstützen. Diese sehen natürlich die Anfragen unverschlüsselt und können die Meta-Daten sammeln. Auf diese Weise bekommt Google mit, auf welche Web-Ressource zugegriffen wird, auch ohne dass die Suchmaschine selbst bemüht wurde. Das ist das Kapital eben dieser Firma und auch andere könnten diese Daten gewinnbringend nutzen.
Und was ist mit den Drei-Buchstabenbehörden (CIA, FBI, …)?
Die heulen gerade auf und befürchten den Untergang des Abendlandes oder zumindest der britischen Inseln: In Großbritannien blockieren die Internet Service Provider (ISP) Webseiten auf Anweisung der Regierung und freiwillig auch auf Wunsch von Kinderschutzorganisationen. Dieses wäre bei Einsatz von DoH nicht mehr ohne weiteres möglich, da ja nicht mehr die Server der ISPs genutzt würden. Auf Anfrage von Mozilla, ob man diese Listen nicht veröffentlichen könnte, meldete sich das vom Snowden-Skandal bekannte Government Communications Headquarters (GCHQ) unlängst zu Wort: das käme ja einer Art von Gelben Seiten für Kinderschänder gleich. Google und Mozilla versprechen darauf mit den Behörden zusammenzuarbeiten, damit das britische System weiterhin funktioniert.
Fazit
Für die Namensauflösung im Internet bringen diese beiden Verfahren ein wenig mehr an Sicherheit, da man sicher sein kann, mit wem der Client redet. Wünschenswert wäre jedoch eine durchgängige DNSSEC-Infrastruktur inkl. Resolvern auf den Clients, damit man die Quelle der Information authentifizieren kann.
In Unternehmensnetzen würde DoT durchaus Sinn machen, um Man-in-the-Middle-Attacken per DNS-Spoofing zu erschweren. Das würde aber die breite Verfügbarkeit von Resolvern für alle Betriebssysteme voraussetzen.
Die DNS-Serverbetreiber gewinnen und die Geheimdienste jammern ohne Grund.