Login
Newsletter
Werbung

Mi, 30. Mai 2018, 15:50

Software::Netzwerk

Vorteile von DNS-Abfragen über HTTPS

Patrick McManus von Mozilla erläutert, warum DNS-Abfragen über HTTPS eine bessere Alternative sind als DNS über einfache TLS-verschlüsselte Verbindungen.

Mirko Lindner

DNS over HTTPS (DoH) steht kurz vor der Standardisierung durch die Internet Engineering Task Force (IETF). Patrick McManus von Mozilla und P. Hoffman von ICANN sind die beiden treibenden Kräfte hinter diesem Protokoll. Schon im März hatte Mozilla bekannt gegeben, diesen Standard in der Entwicklerversion von Firefox testen zu wollen. Die verschlüsselte Übertragung soll nicht nur zur Verbesserung der Privatsphäre beitragen, sondern auch DNS-basierte Angriffe erschweren.

DNS über HTTPS ist ein neues Protokoll, das die Sicherheit der DNS-Abfragen verbessern soll, indem es sie über eine verschlüsselte HTTP-Verbindung sendet. Es ist nicht der erste Versuch, DNS sicher zu machen. Schon lange gibt es DNSSEC, das jedoch nur eine Verifizierung der Daten ermöglicht, keine Verschlüsselung einsetzt und auf Clients kaum verwendet wird. Eine Alternative zu DoH ist DNS over TLS (DoT), das bereits vor DoH von der DPRIVE-Arbeitsgruppe spezifiziert wurde und theoretisch einfacher ist. Denn HTTPS setzt auch TLS zur Verschlüsselung ein, ist aber darüber hinaus ein weiteres komplexes Protokoll.

Patrick McManus schreibt nun, dass DoH auf der großartigen Vorarbeit von DoT aufbaue. Die Gemeinsamkeiten zwischen beiden Protokollen seien wichtiger als die Unterschiede und in vielen Fällen seien beide gleichermaßen geeignet. Beide verschlüsseln und authentifizieren die Kommunikation zwischen Clients und DNS-Resolvern. Einer der Vorteile von DoH ist jedoch, dass es auf die gesamte HTTP-Infrastruktur zurückgreifen kann. Beispiele sind die Content-Verteilnetzwerke, hunderte von Programmbibliotheken, Autorisierungsbibliotheken, Proxys, ausgefeilte Lastverteiler, Server für sehr hohe Datenmengen und die allgegenwärtigen Javascript-Engines, die bereits HTTP-Funktionen mitbringen und ein vernünftiges Sicherheitsmodell (CORS) enthalten. DoH ermöglicht wie HTTP außerdem das Aushandeln der Content-Typen, so dass DNS-Daten auch in Formaten wie JSON oder XML übertragen werden könnten.

DoH hat laut McManus auch Vorteile auf der Protokollebene, da es die ganze HTTP/2-Funktionalität nutzen kann, darunter Multiplexing, Priorisierung, Flusskontrolle und einiges mehr. Wenn HTTP/2 zu QUIC weiterentwickelt wird, wird DoH auch dessen Vorteile ohne neue Standardisierung nutzen können. Unter anderem soll dann die Geschwindigkeit deutlich steigen, besonders wenn mit Paketverlusten gerechnet werden muss.

Ein weiterer Vorteil von DoH ist, dass es in anderen HTTP-Traffic integriert werden kann, was die Anzahl der nötigen Verbindungen senkt und die Geschwindigkeit erhöht. Ein weiterer, allerdings spekulativer Vorteil ist, das DoH künftig die Möglichkeit von HTTP nutzen könnte, Push-Nachrichten zu senden. McManus sieht hier allerdings noch Fragen bezüglich der Sicherheit und der Privatsphäre zu klären, die seiner Ansicht nach schwierig sind, bevor konkrete Schritte in diese Richtung unternommen werden.

Werbung
Pro-Linux
Traut euch!
Neue Nachrichten
Werbung