Categories: Netzwerke

Android 9: DNS-Abfragen verschlüsseln mit DNS-over-TLS (DoT)

Seit Android 9 können Anfragen an einen DNS-Server über DNS-over-TLS (DoT) verschlüsselt werden. Google und Cloudflare bieten DNS-Server, die diese Technik unterstützen. Es gibt aber auch Alternativen, denen man in Sachen Privatsphäre eher vertrauen sollte.

Während viele Websites heute sicheres HTTP (HTTPS), also eine per TLS verschlüsselte HTTP-Verbindung unterstützen oder gar vorschreiben, wird bei Anfragen an das Domain Name System (DNS) üblicherweise auf eine Verschlüsselung verzichtet. Das ermöglicht es nicht nur, jegliche DNS-Anfragen auszuspähen, sondern auch zu fälschen oder zu manipulieren.

Bereits 2017 hat der Informatiker Dominik Herrmann in seiner Dissertation „Das Internet-Adressbuch bedroht unsere Privatsphäre“ (PDF) nachgewiesen, wie anhand von unverschlüsselten DNS-Abfragen, die Identität eines Internetnutzers ermittelt werden kann. Herrmann sieht eine Zentralisierung der Namensauflösung für die internationale Konzerne wie Google, OpenDNS und Smynatec verantwortlich seien. „Im Jahr 2016 beantworteten allein die DNS-Server von Google schon mehr als 13 Prozent aller DNS-Anfragen pro Tag.“

DNS-Server mit DNS-oder-TLS (Dot)

Google bietet die TLS-Verschlüsselung seines öffentlichen DNS-Servers seit Januar an. „Ab heute können Nutzer Abfragen zwischen ihren Geräten und Google Public DNS mit DNS-over-TLS sichern und dabei ihre Privatsphäre und Integrität wahren“, beschrieb Google in einem Blogbeitrag die neue Funktion, ohne das Offensichtliche zu erwähnen: da Google selbst der Empfänger der Abfragen ist, muss es sie entschlüsseln, um sie auflösen zu können. Google kennt also weiterhin alle Websites, die über seinen Public DNS aufgerufen werden.

Wer also am Schutz der Privatsphäre interessiert ist, wählt besser einen anderen Server als den, der zum weltweit größten Werbekonzern gehört. Angebote von gemeinnützigen Organisationen sind dafür besser geeignet. Eine Liste von DNS-Servern, die DNS-over-TLS bieten, findet sich beispielsweise auf dnsprivacy.org und privacy-handbuch.de. Einige DNS-Server verschlüsseln nicht nur DNS-Anfragen, sondern filtern auch Webseiten, die Werbung ausspielen oder für betrügerische Zwecke wie Phishing genutzt werden.

DNS-Server mit DNS over TLS (DoT)

Anbieter Host-Name Server-Standort
Adguard dns.adguard.com weltweit
Digitalcourage dns2.digitalcourage.de Deutschland
Dismail fdns1.dismail.de Deutschland
getdnsapi.net getdnsapi.net Irland
SecureDNS.eu ads-dot.securedns.eu Niederlande
SecureDNS.EU dot.securedns.eu Niederlande
Sinodun.com dnsovertls.sinodun.com Niederlande
Sinodun.com dnsovertls1.sinodun.com Niederlande
Uncensored DNS unicast.uncensoreddns.com Dänemark

Android 9: DNS-Server mit DNS-over-TLS (Dot) konfigurieren

Unter Android nennt sich die Option zur Konfiguration eines DNS-Servers mit DNS-over-TLS „Privates DNS“. Sie befindet sich unter Einstellungen – Netzwerk & Internet. Auf Samsung-Smartphones findet man sie unter Einstellungen – Verbindungen – Weitere Verbindungseinstellungen. Dort trägt man einen DNS-Server mit TLS-Verschlüsselung ein (siehe Tabelle oben). Diese Einstellungen gilt für WLAN- wie für Mobilfunkverbindungen.

Allerdings ist nicht gewährleistet, dass der gewählte DNS-Server mit TLS-Verschlüsselung von jeder App für eine DNS-Anfrage genutzt wird. Im Test mit einem DNS-Server, der auch Werbung blockt, zeigt sich, dass zum Beispiel der Browser Samsung Internet Werbung weiterhin anzeigt, während Firefox und Chrome den gewählten DNS-Server nutzen und demzufolge auch Werbung nicht anzeigen. Entwickler haben also die Möglichkeit, die neue Einstellung „Privates DNS“ zu umgehen. Woran das liegt, ist derzeit nicht bekannt. ZDNet.de hat eine Anfrage bei Google und Samsung gestellt.

Privates DNS unter Android 9: Samsung Internet (links) hält sich nicht an die DNS-Einstellung, während Firefox (mitte) und Chrome (rechts) den DNS-Server mit Werbefilter nutzen. Offenbar müssen Entwickler ihre Apps noch auf die neue Option für „Privates DNS“ anpassen (Bild: ZDNet.de).

DNS-over-TLS unter Desktop-Betriebssystemen

Noch bieten Desktop-Betriebssysteme wie Linux, macOS und Windows standardmäßig keine Unterstützung für DNS-over-TLS. Will man DNS-Anfragen verschlüsseln, muss man sich mit dem Tool Stubby behelfen, das einen lokalen DNS-Auflösedienst mit TLS-Unterstützung realisiert.

Wer Firefox nutzt, kann die Verschlüsselung DNS-over-HTTPs nutzen, indem man in den Netzwerkeinstellungen des Mozilla-Browsers die entsprechende Option aktiviert. Standardmäßig ist dort ein DNS-Server von Cloudflare eingetragen. Man kann diese Einstellungen aber auch anpassen.

Kai Schmerer @KaiSchmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Türkei hebt nach fast drei Jahren Sperre von Wikipedia auf

Die Regierung setzt ein Urteil des Obersten Gerichtshofs um. Der stuft die Blockade als verfassungswidrig ein. Das Gericht folgt seiner…

25 Minuten ago

Google stellt Chrome-Apps auf allen Plattformen ein

Die Änderung gilt schon in diesem Jahr für Windows, macOS und Linux. Unter Chrome OS gibt Google seinen Kunden mehr…

2 Stunden ago

Januar-Patchday: Oracle schließt 334 Lücken in seinen Produkten

Es sind insgesamt 94 Produkte betroffen. 191 Schwachstellen lassen sich aus der Ferne ohne Eingabe von Anmeldedaten ausnutzen. Die Gesamtzahlen…

4 Stunden ago

Proof-of-Concept-Exploits für NSA-Crypto-Lücke in Windows veröffentlicht

Es liegen mindestens drei verschiedene Exploits vor, von denen zwei öffentlich verfügbar sind. Das erhöht die Wahrscheinlichkeit von Angriffen deutlich.…

5 Stunden ago

Mozilla entlässt 70 Mitarbeiter – auch führende Manager

Das Unternehmen reagiert auf sinkende Nutzerzahlen und den damit verbundenen Umsatzrückgang. CEO Mitchell Baker räumt ein, dass der Aufbau neuer…

21 Stunden ago

Sophos: Abo-Betrug im Play Store betrifft mehr als 600 Millionen Nutzer

Insgesamt 25 Apps nutzen eine Lücke in Googles Play-Store-Richtlinie. Nutzer, die diese Apps während einer Testphase löschen, beenden damit nicht…

23 Stunden ago