DNS-over-TLS

Einführung

Traditionelle DNS-Abfragen und -Antworten werden unverschlüsselt über UDP oder TCP gesendet. Dies ist anfällig für Abhören und Spoofing (einschließlich DNS-basierter Internetfilterung). Antworten von rekursiven Resolvern an Clients sind am anfälligsten für unerwünschte oder schädliche Änderungen. Gleichzeitig ist die Kommunikation zwischen rekursiven Resolvern und autoritativen Nameservern häufig mit zusätzlichem Schutz ausgestattet.

Zur Lösung dieser Probleme bietet Google Public DNS eine DNS-Auflösung über TLS-verschlüsselte TCP-Verbindungen gemäß RFC 7858. DNS-over-TLS verbessert den Datenschutz und die Sicherheit zwischen Clients und Resolvern. Dies ergänzt DNSSEC und schützt DNSSEC-validierte Ergebnisse vor Modifizierung oder Spoofing auf dem Weg zum Client.

Funktionsweise

Ein Clientsystem kann DNS-over-TLS mit einem von zwei Profilen verwenden: dem strengen oder dem Opportunistischen Datenschutz. Mit dem strikten Datenschutzprofil konfiguriert der Nutzer einen DNS-Servernamen (den Authentifizierungsdomainnamen in RFC 8310) für den DNS-over-TLS-Dienst und der Client muss eine sichere TLS-Verbindung über Port 853 zum DNS-Server herstellen können. Wenn keine sichere Verbindung hergestellt wird, stellt dies einen schwierigen Fehler dar und führt zu keinem DNS-Dienst für den Client.

Im Opportunity-Datenschutzprofil kann die IP-Adresse des DNS-Servers direkt vom Nutzer konfiguriert oder über DHCP oder andere Methoden aus dem lokalen Netzwerk abgerufen werden. Der Client-Resolver versucht, eine sichere Verbindung über Port 853 zum angegebenen DNS-Server herzustellen. Wenn eine sichere Verbindung hergestellt wird, bietet dies Datenschutz für die Abfragen des Nutzers von passiven Beobachtern auf dem Pfad. Da der Client die Authentizität des Servers nicht überprüft, ist er nicht vor einem aktiven Angreifer geschützt. Wenn der Client keine sichere Verbindung über Port 853 herstellen kann, greift er ohne Sicherheit oder Datenschutz auf den DNS-Server am Standard-DNS-Port 53 zurück. Die Verwendung des opportunistischen Datenschutzes ist für die schrittweise Bereitstellung eines erhöhten Datenschutzes vorgesehen, da das strenge Datenschutzprofil weit verbreitet wird.

Bei Verwendung eines strikten Datenschutzprofils stellen Stub-Resolver eine DNS-over-TLS-Verbindung mit den folgenden Schritten her.

1. Der Stub-Resolver ist mit dem DNS-over-TLS-Resolvernamen dns.google konfiguriert.
2. Der Stub-Resolver ruft die IP-Adressen für dns.google mithilfe des lokalen DNS-Resolvers ab.
3. Der Stub-Resolver stellt eine TCP-Verbindung zu Port 853 her, der zu dieser IP-Adresse gehört.
4. Der Stub-Resolver initiiert einen TLS-Handshake mit dem Google Public DNS-Resolver.
5. Der Google Public DNS-Server gibt sein TLS-Zertifikat zusammen mit einer vollständigen Kette von TLS-Zertifikaten bis zu einem vertrauenswürdigen Root-Zertifikat zurück.
6. Der Stub-Resolver prüft die Identität des Servers anhand der vorhandenen Zertifikate.
   • Wenn die Identität nicht validiert werden kann, schlägt die Auflösung des DNS-Namens fehl und der Stub-Resolver gibt einen Fehler zurück.
7. Nach dem Herstellen der TLS-Verbindung hat der Stub-Resolver einen sicheren Kommunikationspfad zwischen einem öffentlichen Google-DNS-Server.
8. Jetzt kann der Stub-Resolver DNS-Abfragen senden und Antworten über die Verbindung empfangen.

Bei Verwendung eines Opportunity-Datenschutzprofils versucht der Client zuerst, eine sichere TLS-Verbindung zum Server herzustellen. Die Vorgehensweise ist ähnlich wie oben, es gibt jedoch einen wichtigen Unterschied: Der Client führt keine Zertifikatsprüfung durch. Das bedeutet, dass die Identität des Servers nicht vertrauenswürdig ist. Wenn keine TLS-Verbindung auf Port 853 zum Server hergestellt werden kann, greift der Stub-Resolver wieder auf die Kommunikation mit dem DNS-Server auf Port 53 zu.

Datenschutz

Für den DNS-over-TLS-Dienst gilt unsere Datenschutzerklärung.

Am 27.06.2019 haben wir EDNS-Clientsubnetz (ECS) für den DNS-over-TLS-Dienst wieder aktiviert. ECS wurde bei der Einführung des Dienstes deaktiviert.

Standardsupport

Google Public DNS implementiert DNS-over-TLS auf der Grundlage von RFC 7858. Darüber hinaus unterstützen wir die folgenden Empfehlungen für einen DNS-Dienst von hoher Qualität und niedriger Latenz.

• TLS 1.3 (RFC 8846)
• TCP Fast Open (RFC 7413)
• Anforderungen an die Implementierung von DNS-Transport über TCP (RFC 7766)

Jetzt verwenden

Hier finden Sie eine Anleitung zur Konfiguration auf einem Gerät mit Android 9 (Pie) oder höher.

DoH-Modus wird auch für den Nur DNS6-Dienst von Google unterstützt, der nur IPv6 unterstützt. Die Konfiguration von DNS64 für ein Mobilgerät, das mit mehreren Netzwerken verbunden wird, wird nicht empfohlen, da DNS64 nur funktioniert, wenn IPv6 verfügbar ist.