DNS over TLS (DoT) – einfach erklärt

Von Thomas Sesli
Aktualisiert am 13.08.2024 | Lesezeit ca. Min.

Die Welt des Internets ist voller Möglichkeiten. Doch wie sicher sind deine Daten beim Surfen wirklich?

Anbetracht der Schwächen des herkömmlichen DNS (Domain Name System) bietet DoT (DNS over TLS) eine zeitgemäße Lösung, um Privatsphäre und Sicherheit im Netz zu verbessern. In diesem Artikel findest du fundierte Informationen und Lösungsansätze zu folgenden Themen:

  • Schutzmechanismen und Vorteile von DNS over TLS
  • Nachteile und Herausforderungen im Umgang mit DNS over TLS
  • Alternativen zu DNS over TLS: DoT vs. DoH

Legen wir los!

DNS over TLS (DoT): Grundlagen und Funktionsweise

Das Domain Name System (DNS) dient der Zuordnung von Domains zu den zugehörigen IP-Adressen im Internet. Das ist das, was du in die Adresszeile deines Browsers eingibst:

Screenshot Beispiel für Adresszeile

Dazu stellt das DNS Anfragen nach IP-Adressen an Nameserver und ermöglicht so die sogenannte Namensauflösung. Dieses Verfahren übersetzt Namen von Rechnern in numerische Adressen, die dein Computer dann verarbeiten kann.

Würde es DNS nicht geben, müssten wir IP-Adressen statt einfache URLs nutzen. Jedoch findet die Kommunikation im DNS hauptsächlich unverschlüsselt statt, da das System damals in einer weniger sicheren Internet-Ära entwickelt wurde. Um dieses Sicherheitsproblem zu lösen, wurde DNS over TLS (kurz: DoT) entwickelt.

Die Bedeutung von DNS over TLS im Internet

DoT verwendet das Transport-Layer-Security-Protokoll (TLS), das auch unter dem veralteten Begriff SSL bekannt ist. TLS ist ebenfalls im Kontext von HTTPS ein Begriff und arbeitet auf der obersten Ebene des TCP/IP-Protokollstapels. Um dieses allgemein verstehen zu können, greift man auf das OSI-Modell zurück.

icon

Was ist das OSI-Modell?

Das OSI-Modell (Open Systems Interconnection) besteht aus 7 Schichten.

1-2 entspricht der TCP/IP-Schicht "Netzzugang", 3 steht für "Internet", 4 für "Transport" und 5-7 entspricht der TCP/IP-Schicht "Anwendungen".

  1. Bitübertragungsschicht: Zuständig für die Übertragung auf dem physischen Gerät, etwa Kabel oder Router.

  2. Sicherungsschicht: Hier werden Daten innerhalb des gleichen Netzwerks übertragen.

  3. Vermittlungsschicht: Zerlegt kleine Daten auf dem Sendegerät und setzt sich auf dem Empfängergerät wieder zusammen. Die Übertragung erfolgt zwischen zwei verschiedenen Netzwerken.

  4. Transportschicht: Die übertragenen Daten befinden sich innerhalb eines Netzwerks, etwa der Cloud. Die kleineren Daten werden zerlegt und am Zielgerät wieder zusammengesetzt.

  5. Sitzungsschicht: Für die Kommunikation zwischen zwei Geräten muss eine Sitzung (Session) hergestellt werden. Solange Daten übertragen werden, bleibt diese geöffnet.

  6. Darstellungsschicht: Bereitet Daten auf, sodass sie dem Nutzer angezeigt werden können.

  7. Anwendungsschicht: Kommuniziert direkt mit dem Nutzer. Beispielsweise ein E-Mail-Client, der die Nachrichten dem Nutzer direkt anzeigt.

DoT stellt einen wichtigen Schritt in Richtung einer verbesserten Privatsphäre und Sicherheit im Internet dar, da es den DNS-Datenverkehr verschlüsselt. Somit wird es für Angreifer zunehmend schwierig, diesen Datenverkehr abzufangen oder zu manipulieren.

Wie DNS over TLS den Datenverkehr verschlüsselt

Um DoT zu verwenden, müssen sowohl der Server als auch der Client das Protokoll unterstützen. DoT kommuniziert über Port 853 zwischen Client und Server. Das ist ein Verschlüsselungsprotokoll. Es gibt verschiedene standardisierte Möglichkeiten, DoT einzusetzen:

icon

Wofür wird Port 853 verwendet?

Die Verwendung von Port 853 für DoT stellt sicher, dass die DNS-Anfragen verschlüsselt und somit sicherer sind. Konkreter wird dabei die Kommunikation zwischen deinem DNS-Client (z. B. einem Computer oder Smartphone) und dem DNS-Resolver (z. B. einem DNS-Server) verschlüsselt.

  • Lösungen für Windows und Linux, die das System auf DoT umstellen, sind verfügbar.
  • Ab der Version 9 unterstützen Android-Smartphones DoT standardmäßig und erlauben eine einfache Aktivierung in den Einstellungen.

Da DoT auf TLS basiert, bietet es eine vertrauenswürdige und sichere Verschlüsselung für DNS-Anfragen, die vergleichbar ist mit der Verschlüsselung, die HTTPS für Webseiten verwendet.

Schutzmechanismen und Vorteile von DNS over TLS

Während des Surfens im Internet trägt DNS over TLS (DoT) wesentlich zum Schutz deiner Sicherheit und Privatsphäre bei. Die Technologie minimiert diverse Bedrohungen, indem sie den Datenverkehr zwischen dem Client und dem DNS-Server verschlüsselt.

Im Folgenden werfen wir einen genaueren Blick auf die Vorteile und Anwendungsbereiche von DoT:

Privatsphäre und Sicherheit durch Verschlüsselung

Die grundlegende Funktion von DoT besteht darin, den Datenverkehr mittels Verschlüsselung abzusichern. Dank dieser verschlüsselten Verbindungen können Dritte deine Online-Aktivitäten weder mitlesen noch manipulieren.

Zu den Hauptvorteilen von DoT zählen:

  • Unerwünschte Werbung lässt sich durch die Verschlüsselung vermeiden.
  • DoT erschwert Zensurversuche, indem es das Blockieren von Websites durch Internetanbieter oder Regierungen weniger effektiv macht.
  • Mithilfe von DoT bleibt die Anonymität des Nutzers erhalten, da die Kommunikation zwischen dem Client und dem DNS-Server vor neugierigen Blicken geschützt ist.

Schutz vor DNS-Spoofing und anderen Angriffen

Außerdem schützt DoT effektiv vor verschiedenen Angriffsarten, indem es den Datenverkehr zwischen dem Client und dem DNS-Server absichert. Insbesondere wirkt es gegen DNS-Spoofing und DNS-Hijacking. Bei diesen Angriffsarten umleiten oder manipulieren Cyberkriminelle DNS-Anfragen, um dich auf unerwünschte oder schädliche Websites zu führen. DoT kommt auch hier mit einer Reihe von Vorteilen:

  • Angreifer können keine gefälschten DNS-Antworten einschleusen, wodurch du vor dem Leiten auf bösartige Websites geschützt bist.
  • Mit DoT wird das Risiko von Phishing-Angriffen reduziert, da Cyberkriminelle DNS-Anfragen nicht manipulieren können, um gefälschte Login-Seiten anzuzeigen.
  • Da der Datenverkehr verschlüsselt ist, verlieren Angreifer DNS als Angriffsvektor, um die Kommunikation zwischen dir und legitimen Websites zu beeinträchtigen oder zu modifizieren.

Herausforderungen von DNS over TLS

Beim Einsatz von DNS over TLS (DoT) gilt es, einige Herausforderungen und Schwierigkeiten in Bezug auf Implementierung und Betrieb dieser Technologie zu berücksichtigen. In diesem Kapitel fokussieren wir uns auf zwei wesentliche Aspekte: mögliche Performance-Einbußen und Kompatibilitätsprobleme.

Mögliche Performance-Einbußen

Da bei DoT die Kommunikation verschlüsselt abläuft, kann dies zu einer gewissen Verlangsamung des Datenverkehrs führen. Die zusätzlich benötigte Rechenleistung für die Verschlüsselung kann zu folgenden Performance-Nachteilen beitragen:

  • Längere Latenzzeiten: Die Verschlüsselung und Entschlüsselung von DNS-Anfragen bei DoT kann zu geringfügigen Verzögerungen in der Kommunikation führen.
  • Erhöhter Rechenaufwand: Um Verschlüsselung und Entschlüsselung durchzuführen, benötigen sowohl Clients als auch Server mehr Rechenleistung.

Es ist jedoch wichtig zu betonen, dass die Performance-Einbußen in der Regel gering ausfallen und für die meisten Benutzer kaum spürbar sind, vor allem im Vergleich zu den Sicherheits- und Privatsphäre-Vorteilen, die DoT mit sich bringt.

Kompatibilitätsprobleme mit manchen Clients und Servern

Da DoT noch nicht allgemein verbreitet ist, können Kompatibilitätsprobleme auftreten, wenn einige Clients und Server diese Technologie nicht unterstützen. In solchen Fällen können DNS-Anfragen unverschlüsselt bleiben und dadurch potenziell manipuliert werden. Einige Herausforderungen in Bezug auf die Kompatibilität:

  • Unterstützung von DoT: Nicht alle DNS-Server unterstützen DoT. Das bedeutet, dass Benutzer möglicherweise auf Server zurückgreifen müssen, die nicht unbedingt ihre bevorzugten Anbieter sind.
  • Mögliche Interoperabilitätsprobleme: Da sich DoT noch in Entwicklung und Standardisierung befindet, können manche Clients und Server bei der Kommunikation miteinander Schwierigkeiten haben.
  • Monopolbildung: Aufgrund der begrenzten Anzahl von DNS-Servern, die DoT unterstützen, kann es zu einer Konzentration von Macht und einem möglichen Monopol in diesem Bereich kommen.

Ungeachtet dieser Herausforderungen stellt DNS over TLS eine bedeutsame Verbesserung in puncto Sicherheit und Privatsphäre im Vergleich zur herkömmlichen, unverschlüsselten DNS-Kommunikation dar. In vielen Fällen können die Vorteile der Verschlüsselung die genannten Schwierigkeiten überwiegen.

Alternativen zu DNS over TLS: DoT vs. DoH

Abgesehen von DoT existiert eine weitere Technologie: DNS over HTTPS (DoH). Beide haben das Ziel, die Privatsphäre von Internetnutzern zu schützen und die Sicherheit im DNS-Verkehr zu erhöhen. Der Hauptunterschied besteht darin, dass DoH den Port 443 für die Kommunikation verwendet, der üblicherweise für HTTPS-Verbindungen genutzt wird.

DNS over HTTPS (DoH): Vorteile und Unterschiede

DoH wird von namhaften Unternehmen wie der Mozilla Foundation und Google unterstützt und bietet einige Vorteile gegenüber DoT. Die markantesten Unterschiede und Vorzüge von DoH sind:

  • DoH fügt sich besser in bestehende Infrastrukturen ein, da es denselben Port wie HTTPS nutzt.
  • Aufgrund der Verwendung von Port 443 ist DoH weniger auffällig, was es für Angreifer oder Zensoren schwieriger macht, den DoH-Verkehr zu erkennen und zu blockieren.
  • DoH lässt sich einfacher in Browser integrieren, beispielsweise in Firefox und Chrome.

Dennoch gibt es auch einige Nachteile von DoH im Vergleich zu DoT. Dazu gehört die mögliche Zentralisierung von DNS-Anfragen bei großen Anbietern wie Google, was Datenschutzbedenken aufwerfen kann.

icon

Wofür wird Port 443 verwendet?

Port 443 schützt sensible Informationen, die zwischen deinem Browser und einer Website, die du aufgerufen hast, übertragen werden. Hast du beispielsweise deine Kreditkartennummer, dein Passwort oder andere private Daten eingegeben, so werden deine Informationen durch dieses HTTPS-Protokoll geschützt.

Auswahl der passenden Technologie: DoT oder DoH

Bei der Entscheidung zwischen DoT und DoH solltest du folgende Faktoren in Betracht ziehen:

  1. Die individuellen Anforderungen an Sicherheit und Privatsphäre.
  2. Die Kompatibilität mit vorhandenen Clients und Servern.
  3. Die einfachere Integration in Browser im Falle von DoH.
  4. Die Unterstützung der gewünschten Technologie durch bevorzugte DNS-Anbieter.

Es ist zudem erwähnenswert, dass es eine weitere Alternative namens dnscrypt gibt. Diese Technologie verschlüsselt ebenfalls den DNS-Verkehr, weist jedoch einige Unterschiede in der Implementierung auf.

Fazit

DoT ermöglicht die Verschlüsselung des Datenverkehrs zwischen Client und DNS-Server. Dadurch trägt es zu einem erhöhten Schutz vor Angriffen wie DNS-Spoofing bei und reduziert mögliche Schwachstellen des herkömmlichen DNS. Obwohl potenzielle Kompatibilitätsprobleme und Performance-Einbußen in Betracht gezogen werden sollten, überwiegen die Vorteile in puncto Sicherheit und Privatsphäre. Alternativen wie DNS over HTTPS (DoH) und dnscrypt können ebenfalls in Betracht gezogen werden, je nach individuellen Bedürfnissen und Anforderungen.

Prüfe nach, ob es sinnvoll wäre, in deiner persönlichen oder beruflichen IT-Umgebung auf verschlüsselte DNS-Verbindungen umzusteigen.

FAQ

Hier finden sich die Antworten auf häufige Fragen.

Weitere Artikel