Erklärte DNS-Verschlüsselungsprotokolle: Welches schützt Ihren Webverkehr am besten?

Das Domain Name System (DNS) gilt weithin als das Telefonbuch des Internets und wandelt Domänennamen in Informationen um, die von Computern gelesen werden können, beispielsweise IP-Adressen.

Immer wenn Sie einen Domainnamen in die Adressleiste schreiben, wandelt der DNS ihn automatisch in die entsprechende IP-Adresse um. Ihr Browser verwendet diese Informationen, um die Daten vom Ursprungsserver abzurufen und die Website zu laden.

Allerdings können Cyberkriminelle häufig den DNS-Verkehr ausspionieren, was eine Verschlüsselung erforderlich macht, um Ihr Surfen im Internet privat und sicher zu halten.

Was sind DNS-Verschlüsselungsprotokolle?

DNS-Verschlüsselungsprotokolle dienen dazu, den Datenschutz und die Sicherheit Ihres Netzwerks oder Ihrer Website durch die Verschlüsselung von DNS-Anfragen und -Antworten zu erhöhen. DNS-Anfragen und -Antworten werden regelmäßig im Klartext gesendet, was es Cyberkriminellen erleichtert, die Kommunikation abzufangen und zu manipulieren.

DNS-Verschlüsselungsprotokolle machen es diesen Hackern immer schwerer, Ihre sensiblen Daten einzusehen und zu ändern oder Ihr Netzwerk zu stören. Es gibt verschiedene verschlüsselte DNS-Anbieter, die Ihre Anfragen vor neugierigen Blicken schützen können.

Die gängigsten DNS-Verschlüsselungsprotokolle

Heutzutage werden mehrere DNS-Verschlüsselungsprotokolle verwendet. Diese Verschlüsselungsprotokolle können verwendet werden, um das Schnüffeln in einem Netzwerk zu verhindern, indem der Datenverkehr entweder innerhalb des HTTPS-Protokolls über eine TLS-Verbindung (Transport Layer Security) verschlüsselt wird.

1. DNSCrypt

DNSCrypt ist ein Netzwerkprotokoll, das den gesamten DNS-Verkehr zwischen dem Computer des Benutzers und allgemeinen Nameservern verschlüsselt. Das Protokoll verwendet eine Public-Key-Infrastruktur (PKI), um die Authentizität des DNS-Servers und Ihrer Clients zu überprüfen.

Es verwendet zwei Schlüssel, einen öffentlichen Schlüssel und einen privaten Schlüssel, um die Kommunikation zwischen dem Client und dem Server zu authentifizieren. Wenn eine DNS-Abfrage initiiert wird, verschlüsselt der Client diese mit dem öffentlichen Schlüssel des Servers.

Die verschlüsselte Anfrage wird dann an den Server gesendet, der die Anfrage mithilfe seines privaten Schlüssels entschlüsselt. Auf diese Weise stellt DNSCrypt sicher, dass die Kommunikation zwischen Client und Server stets authentifiziert und verschlüsselt ist.

DNSCrypt ist ein relativ älteres Netzwerkprotokoll. Aufgrund der breiteren Unterstützung und stärkeren Sicherheitsgarantien dieser neueren Protokolle wurde es weitgehend von DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH) abgelöst.

2. DNS-over-TLS

DNS-over-TLS verschlüsselt Ihre DNS-Abfrage mithilfe von Transport Layer Security (TLS). TLS stellt sicher, dass Ihre DNS-Abfrage Ende-zu-Ende verschlüsselt ist. Verhinderung von Man-in-the-Middle-Angriffen (MITM)..

Wenn Sie DNS-over-TLS (DoT) verwenden, wird Ihre DNS-Abfrage an einen DNS-over-TLS-Resolver statt an einen unverschlüsselten Resolver gesendet. Der DNS-over-TLS-Resolver entschlüsselt Ihre DNS-Abfrage und sendet sie in Ihrem Namen an den autorisierenden DNS-Server.

Der Standardport für DoT ist TCP-Port 853. Wenn Sie eine Verbindung über DoT herstellen, führen sowohl der Client als auch der Resolver einen digitalen Handshake durch. Anschließend sendet der Client seine DNS-Anfrage über den verschlüsselten TLS-Kanal an den Resolver.

Der DNS-Resolver verarbeitet die Anfrage, findet die entsprechende IP-Adresse und sendet die Antwort über den verschlüsselten Kanal an den Client zurück. Die verschlüsselte Antwort wird vom Client empfangen, dort entschlüsselt und der Client verwendet die IP-Adresse, um eine Verbindung zur gewünschten Website oder zum gewünschten Dienst herzustellen.

3. DNS-über-HTTPS

HTTPS ist die sichere Version von HTTP, die heute für den Zugriff auf Websites verwendet wird. Wie DNS-over-TLS verschlüsselt auch DNS-over-HTTPS (DoH) alle Informationen, bevor sie über das Netzwerk gesendet werden.

Obwohl das Ziel dasselbe ist, gibt es einige grundlegende Unterschiede zwischen DoH und DoT. Zunächst sendet DoH alle verschlüsselten Abfragen über HTTPS, anstatt direkt eine TLS-Verbindung zur Verschlüsselung Ihres Datenverkehrs herzustellen.

Zweitens nutzt es Port 403 für die allgemeine Kommunikation, was eine Unterscheidung vom allgemeinen Webverkehr erschwert. DoT verwendet Port 853, was es viel einfacher macht, den Datenverkehr von diesem Port zu identifizieren und ihn zu blockieren.

DoH hat in Webbrowsern wie Mozilla Firefox und Google Chrome eine breitere Akzeptanz erfahren, da es die vorhandene HTTPS-Infrastruktur nutzt. DoT wird häufiger von Betriebssystemen und dedizierten DNS-Resolvern verwendet und nicht direkt in Webbrowser integriert.

Zwei Hauptgründe für die zunehmende Verbreitung von DoH liegen darin, dass es sich viel einfacher in das bestehende Web integrieren lässt Browsern, und was noch wichtiger ist, es fügt sich nahtlos in den regulären Webverkehr ein, was es viel schwieriger macht Block.

4. DNS-over-QUIC

Im Vergleich zu den anderen DNS-Verschlüsselungsprotokollen auf dieser Liste ist DNS-over-QUIC (DoQ) relativ neu. Es handelt sich um ein aufstrebendes Sicherheitsprotokoll, das DNS-Anfragen und -Antworten über das Transportprotokoll QUIC (Quick UDP Internet Connections) sendet.

Der Großteil des Internetverkehrs basiert heute auf dem Transmission Control Protocol (TCP) oder dem User Datagram Protocol (UDP), wobei DNS-Anfragen normalerweise über UDP gesendet werden. Allerdings wurde das QUIC-Protokoll eingeführt, um einige Nachteile von TCP/UDP zu überwinden und hilft, die Latenz zu reduzieren und die Sicherheit zu verbessern.

QUIC ist ein relativ neues Transportprotokoll, das von Google entwickelt wurde und im Vergleich zu herkömmlichen Protokollen wie TCP und TLS eine bessere Leistung, Sicherheit und Zuverlässigkeit bieten soll. SCHNELL kombiniert Funktionen von TCP und UDP, und integriert gleichzeitig eine integrierte Verschlüsselung ähnlich wie TLS.

Da es neuer ist, bietet DoQ mehrere Vorteile gegenüber den oben genannten Protokollen. Zunächst einmal bietet DoQ eine schnellere Leistung, reduziert die Gesamtlatenz und verbessert die Verbindungszeiten. Dies führt zu einer schnelleren DNS-Auflösung (die Zeit, die das DNS benötigt, um die IP-Adresse aufzulösen). Letztendlich bedeutet dies, dass Ihnen Websites schneller zur Verfügung gestellt werden.

Noch wichtiger ist, dass DoQ im Vergleich zu TCP und UDP widerstandsfähiger gegen Paketverluste ist, da es im Gegensatz zu TCP-basierten Protokollen verlorene Pakete wiederherstellen kann, ohne dass eine vollständige Neuübertragung erforderlich ist.

Darüber hinaus ist es auch viel einfacher, Verbindungen mit QUIC zu migrieren. QUIC kapselt mehrere Streams innerhalb einer einzigen Verbindung, wodurch die Anzahl der für eine Verbindung erforderlichen Roundtrips reduziert und dadurch die Leistung verbessert wird. Dies kann auch beim Wechsel zwischen WLAN und Mobilfunknetzen nützlich sein.

Im Vergleich zu anderen Protokollen ist QUIC noch nicht weit verbreitet. Aber Unternehmen wie Apple, Google und Meta verwenden QUIC bereits und erstellen häufig ihre eigene Version (Microsoft verwendet MsQUIC für den gesamten SMB-Verkehr), was ein gutes Zeichen für die Zukunft ist.

Erwarten Sie in Zukunft weitere Änderungen am DNS

Es wird erwartet, dass neue Technologien die Art und Weise, wie wir auf das Internet zugreifen, grundlegend verändern werden. Beispielsweise nutzen viele Unternehmen mittlerweile Blockchain-Technologien, um sicherere Domain-Namensprotokolle wie HNS und Unstoppable Domains zu entwickeln.