Verschwindendes DNS: DoT und DoH, wobei ein Buchstabe den großen Unterschied macht
20. Dezember 2019Das Akronym DoH (DNS over HTTPS) zeigt, dass die Autoren des Standards einen guten Sinn für Humor haben. Da DoH jedoch von großen Unternehmen implementiert wurde, ist es zu einem zentralen Thema in vielen Diskussionsforen geworden, in denen der Ausruf „DOH!“ als Ausdruck von Besorgnis, Enttäuschung und Missverständnissen über die möglichen Auswirkungen von DoH zu hören ist.
Für die Befürworter der privaten Internetnutzung scheint es einen Konsens zu geben, dass die Verschlüsselung des DNS (Domain Name System) erforderlich ist, um zu verhindern, dass Netzwerkbetreiber Einblicke in die Webseiten und Dienste erhalten, die ihre Benutzer suchen und schließlich auch besuchen. Um diese Verschlüsselung zu erreichen, wurden zwei Protokolle erstellt: DoT und DoH.
Während beide die Verschlüsselung von DNS-Daten mit demselben TLS-Protokoll anbieten, gibt es doch einige sehr wichtige Unterschiede:
- Protokollschichten: Während DoT im Wesentlichen DNS über TLS ist, ist DoH tatsächlich DNS über HTTP über TLS.
- Unterschiedliche Portnummern: Der DoT-Datenverkehr verwendet einen dedizierten Port 853 und kann daher auf Netzwerkebene erkannt werden. DoH verwendet jedoch die Protokollschichtung Standard-Port 443 (HTTPS).
- Unterschiedliche Funktionen: DoT ist größtenteils dasselbe DNS, wie wir es kennen, während DoH in gewissem Maße Funktionen von DNS und HTTP kombiniert. Zum einen gehören zu den bemerkenswertesten, erweiterten DoH-Funktionen Optionen zum „Pushen“ von DNS-Daten vom Server, anstatt sie zu „pullen“. Zum anderen besteht die Möglichkeit für Webbrowser zu definieren, welcher DNS-Server verwendet wird, anstatt des im Betriebssystem, vom System-Administrator, festgelegten Server.
Diese Optionen, um ein ähnliches Ziel zu erreichen, haben innerhalb der Internet-Community zur Spaltung geführt, als einige Organisationen damit begannen, DoT zu implementieren und zu bewerben, und sich andere lieber für DoH entschieden.
Die erste Gruppe besteht größtenteils aus Service-Providern und Unternehmen. Für sie ist DoT eine Weiterentwicklung des bestehenden DNS, da es die Art und Weise, wie Netzwerke entworfen, betrieben und gesichert werden, nicht grundlegend verändert.
Die zweite Gruppe, bestehend aus Webfirmen und Browserentwickler, setzt in der Regel auf DoH und bietet den Benutzern die Möglichkeit, DNS-Dienste zu umgehen, die von Service-Providern angeboten und von Systemadministratoren konfiguriert werden. Sie bieten ihre eigenen Cloud-DNS-Dienste an, wobei das Unterscheidungsmerkmal eine Kombination aus besserem Datenschutz und höherer Leistung ist – zwei Dinge, die für Endbenutzer attraktiv sind.
Vom Standpunkt des Netzwerkbetreibers verringert sich jedoch die Sichtbarkeit der von ihren Kunden genutzten Over-the-Top-Dienste, wenn Benutzer zu DoH migrieren. Dadurch werden auch ihre Möglichkeiten, ihre Benutzer vor den Bedrohungen im Internet zu schützen, gemindert.
Auch wenn DoT im Vergleich zu DoH momentan sieben Mal so viele Daten kreiert, werden beide Protokolle verstärkt genutzt. Netzbetreiber aller Art sind aufgrund dessen zunehmend besorgt über die Auswirkungen einer mangelnden DNS-Sichtbarkeit auf ihre täglichen Aktivitäten. Man stelle sich vor, ein DoH-Dienst scheitert aus irgendeinem Grund – entweder aufgrund eines internen Ausfalls oder eines DDoS-Angriffs – für einen typischen nichttechnischen Mobil- oder Breitbandbenutzer würde sich das als „Keine Internetverbindung“ darstellen.
Dies würde wahrscheinlich zu einem Support-Anruf beim Service Provider führen, der eigentlich nichts mit dem DoH-Dienst zu tun hat, der das Problem verursacht. Diese Art von Problemen gibt in der gesamten Branche Anlass zu großer Sorge.
Kirill Kasavchenko ist Principal Security Technologist und CTO Office bei Netscout.