Login
Newsletter
Werbung

Thema: Mozilla konkretisiert Pläne für DNS über HTTPS

6 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
2
Von Ghul am Di, 10. September 2019 um 12:15 #

DoH funktioniert auch ohne das es im Browser implementiert ist. Und als Systemdienst lässt es dann auch sämtliche DNS-Anfragen über DoH ablaufen und nicht nur die, die vom Browser kommen.
Kann man machen, man sollte allerdings beachten, dass es dann die HTTPS Verbindung aufbricht bzw. dem Browser die Kontrolle darüber entzogen wird und der sich auf den Systemdienst dann verlassen müsste.
Ich sage das, weil das nicht unerwähnt bleiben sollte.
Gegen eine systemweite Lösung habe ich nichts.


Die andere Frage ist, wie viel bringt der DoH in der Praxis. Privatsphäre gegenüber dem Provider? Eher nicht. Der sieht ohnehin, mit welchen IPs Du Dich verbindest. DNS macht halt nur die Namensauflösung.
Und die IP ist dann irgendeine von Akamai.
Frage: Welche der > 10000 möglichen Domains habe ich jetzt angesurft?

Also sieht er was ich mache?
Antwort. Nö, in vielen Fällen nicht.


Zuguterletzt gibt es ja noch Alternativen zu DoH. Es sei hier auf DNS-over-TLS (DoT) verwiesen. Das attraktive an der Lösung ist, Du brauchst keine neue Software. Du kannst Deinen normalen Resolver einsetzen und pappst da nur noch ein TLS-Proxy dran.
Ich weiß, siehe oben der Kontext.

  • 1
    Von Rail am Di, 10. September 2019 um 13:36 #

    Oho.. da hat aber jemand vergessen, dass TLS auch SNI nutzt und zwar unverschlüsselt!
    Und zwar genau aus dem selbst genannten Grund: Viele Domains auf einer IP.

    Ab TLS1.3 dann endlich auch verschlüsselt.. schade, dass vorher nicht daran gedacht wurde.

    Und warum sollte HTTPS aufgebrochen werden?
    Der ganze Handshake läuft ja wie immer.. Zertifikate fälschen nur mit MITM im DNS geht schon lange nicht mehr!


    Ich habe nichts gegen verschlüsseltes DNS.. wird auch mal Zeit!
    Ich habe aber gegen schlampige Umsetzungen..
    Das System entscheidet über den DNS, sofern es nicht absolut Sicherheitskritisch ist. (Dann kann das jeweilige Proframm das selbst implementieren)

    Ja.. Https mag ja verschleiern, aber in den meisten Fällen wird es nur Overhead geben und keinen Nutzen haben.
    Ich bin für Systemweites DoT

    • 1
      Von Ghul am Di, 10. September 2019 um 14:07 #

      Eben, TLS 1.3 löst es. Da weiß dann keiner mehr, was ich unter IP x.y.z.m ansurfe.

      Es geht um die DoH HTTPS Verbindung, die wird spätestens ab dem System aufgebrochen und der Browser weiß davon dann nichts mehr.
      Der Browsre kriegt dann kein Zertfikat vom DNS, er kriegt nur ne IP vom System.

      • 1
        Von Andy_m4 am Di, 10. September 2019 um 14:20 #

        Der Browsre kriegt dann kein Zertfikat vom DNS, er kriegt nur ne IP vom System.
        Und was ist jetzt das Problem daran?

        • 0
          Von schmidicom am Di, 10. September 2019 um 15:08 #

          Würde mich auch mal interessieren...

          Mal davon abgesehen das es aktuell wohl wichtigeres gibt, wie Beispielweise die Implementation von DoT (oder meinetwegen auch DoH) im Resolver der Betriebssysteme. Unter Windows sieht es damit aktuell nämlich nicht sehr rosig aus und unter Linux bekommt man das auch nur mit einem lokalen DNS-Server (wie zum Beispiel systemd-resolvd) hin. Über den Informationsaustausch, wann verschlüsselt kommuniziert wird und wann nicht, zwischen OS-Resolver und Applikation kann man sich dann immer noch Gedanken machen.

    1
    Von Andy_m4 am Di, 10. September 2019 um 14:17 #

    Kann man machen, man sollte allerdings beachten, dass es dann die HTTPS Verbindung aufbricht bzw. dem Browser die Kontrolle darüber entzogen wird und der sich auf den Systemdienst dann verlassen müsste.
    Was denn das für ein dämliches Argument?
    Ja klar musst Du Dich auf Dein System verlassen können. Das musst Du aber sowieso immer.
    Von daher macht das kaum ein Unterschied.

    Wenn Du Deinem eigenen System nicht vertrauen kannst, hast Du ganz andere Probleme als DNS.

Pro-Linux
Gewinnspiel
Neue Nachrichten
Werbung