Login
Newsletter
Werbung

Thema: DNS-over-HTTPS hat einen schlechten Ruf

37 Kommentar(e) || Alle anzeigen ||  RSS || Kommentieren
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
4
Von Sylvan am Mo, 7. Oktober 2019 um 13:47 #

Für mich(!) ergibt sich noch ein weiteres Problem:
Aktuell betreibe ich ein pihole als lokaler DNS-Cache und zum filtern auf DNS-Ebene.
Nun gibt es aber Devices welche den per DHCP mitgeteilten Server teilweise ignorieren (wahrscheinlich als Fallback wenn die Anfrage negativ verläuft). Android-Phones und Amazon Echo-Geräte sind da Kandidaten in meinem Netz.
Also hab ich dafür auf dem Router eine iptables-Regel erstellt welche alle Anfragen auf Port 53 die woanders hingehen als dem pihole eben doch dorthin gelenkt werden. Ist einfach und klappt soweit ganz gut.

Bei DoH kann ich das dann jedoch nicht mehr machen. Sobald irgendein Gerät DNS-Abfragen per HTTPS, sendet kann ich diese nicht mehr erkennen und entsprechend umlenken. Sobald die Browser standardmäßig auf Google und Cloudflare gehen, ist mein pihole dann auch komplett raus und ich habe keine wirkliche Möglichkeit das entsprechend zu kontrollieren.

  • 3
    Von Drubadix am Mo, 7. Oktober 2019 um 13:55 #

    Das scheint ja auch Sinn er Übung zu sein. Du hast dann keine wirkliche Möglichkeit das entsprechend zu kontrollieren.
    Das tun dann andere.

    • 2
      Von Sylvan am Mo, 7. Oktober 2019 um 14:11 #

      Wer macht es dann?
      Im Grunde kontrolliert es dann gar keiner mehr.

      Und ich bin eine einfache Methode los, den Traffic in meinem Netz zu überwachen und zu steuern.
      Ab dem Moment sendet Windows dann wieder haufenweise Telemtriedaten an seine Server und ich kann nicht wirklich viel dagegen tun (IP-Adressen blocken ist aufwendiger und blockt auch Services die auf der selben IP laufen).

      Klar das war technisch heute auch schon möglich DNS-Abfragen per HTTPS zu verpacken. Aber nun ist das schön standardisiert und einfach zugänglich.

      • 2
        Von Sylvan am Mo, 7. Oktober 2019 um 14:17 #

        Wobei mir kommt da eine Idee:
        Im Grunde müsste ich nur den Output Richtung 1.1.1.1, 8.8.8.8 ... etc. auf Port 443 blocken - außer natürlich falls der vom pihole kommt.
        Dann gehen die DoH-Anfragen der LAN-Devices ins Leere und hoffentlich besinnen die sich dann als Fallback darauf, dass es auch einen vom DHCP genannten DNS-Server gibt.

        Man bräuchte halt nur eine halbwegs vollständige Liste dann gängiger DoH-Server.

    3
    Von Josef Hahn am Mo, 7. Oktober 2019 um 14:19 #

    > Nun gibt es aber Devices welche den per DHCP mitgeteilten Server teilweise ignorieren

    Na nu. Sollte ein aufgeklärter Konsument sowas kaufen?

    > wahrscheinlich als Fallback wenn die Anfrage negativ verläuft

    Natüüürlich... :)

    > Android-Phones und Amazon Echo-Geräte sind da Kandidaten in meinem Netz.

    Das sind wahrscheinlich die beiden Hersteller, die am ehesten damit rechnen müssen, von irgendwelchen Skeptikern auf Netzwerkebene rausgefiltert zu werden. Das versucht man, zu handhaben. Du schreibst es ja gleich selber.

    > Also hab ich dafür auf dem Router eine iptables-Regel erstellt welche alle Anfragen auf Port 53 die woanders hingehen als dem pihole eben doch dorthin gelenkt werden. [...] Bei DoH kann ich das dann jedoch nicht mehr machen.

    Siehste. Und darum geht's bei DoH hauptsächlich. Schau dir halt an, wer es pusht. Warum sind diese Klubs immer an den Stellen so überengagiert in Sachen Security, wenn damit die Erschließung einer neuen Datenmiene einhergeht?

    Wer euch etwas anderes erzählt, verarscht euch (mit gewissem Erfolg leider).

    • 2
      Von Sylvan am Mo, 7. Oktober 2019 um 14:30 #

      Na nu. Sollte ein aufgeklärter Konsument sowas kaufen?
      Das weiß ich vorher woher?
      Und da ich in einem Heimnetz auch ab und an Fremdgeräte habe die ich nicht prinzipiell vom Internet aussperren möchte (sondern nur vom internen Netz) habe ich darauf auch nicht immer Einfluss.

      Zum Rest: Ich will nicht ins spekulative abdriften und der Grund kann mir eigentlich auch egal sein.
      Mich interessiert nur was in meinem Netz passiert und wie ich darauf reagieren kann.

      Schau dir halt an, wer es pusht. Warum sind diese Klubs immer an den Stellen so überengagiert in Sachen Security, wenn damit die Erschließung einer neuen Datenmiene einhergeht?
      Bislang habe ich Mozilla eher nicht in dieser Ecke gesehen.

      • 2
        Von DotzlerMotzilla am Mo, 7. Oktober 2019 um 14:47 #

        Bislang habe ich Mozilla eher nicht in dieser Ecke gesehen.
        Mozilla hat es sich schon lange in dieser Ecke gemütlich gemacht.

        1
        Von Josef Hahn am Mo, 7. Oktober 2019 um 14:49 #

        >> Sollte ein aufgeklärter Konsument sowas kaufen?
        > Das weiß ich vorher woher?

        Ihr wisst doch auch, wenn im Facebook gerade Ice Bucket Challenge ist... Wenn man etwas mitbekommen will, findet man schon was.

        > Und da ich in einem Heimnetz auch ab und an Fremdgeräte habe

        Ja, aber bei denen kann es dir doch auch egal sein, oder? Lass sich doch diese Fremdgeräte in die Facebooks und Cloudflares dieser Welt abkippen. Na und?!

        > Mich interessiert nur was in meinem Netz passiert und wie ich darauf reagieren kann.

        Wenn es in deinem Netzwerk Fremdgeräte gibt, ist das ja per se aussichtslos. Du solltest dein Interesse eher auf deine Geräte bzw. deine Datenverarbeitung richten.

        > Bislang habe ich Mozilla eher nicht in dieser Ecke gesehen.

        Das ist auch deren Hoffnung. Es ist weiterhin deren Hoffnung, dass sie von dieser Trägheit noch eine Weile zehren können. Der Name "Firefox" wird noch für Jahre die eine oder andere hoffnungsvolle Nase an sich binden und direkt an Cloudflare und Google durchreichen. Was überall im Leben zählt, ist die Show und das Gefühl...

        • 1
          Von MancusNemo am Mo, 7. Oktober 2019 um 18:11 #

          Um den Widerstand zu brechen müssten sie den Quellcode schließen. Das werden sie nicht tun. Also kann man wieder den DNS reinpatchen. Also könnte das schneller zu einem Fork kommen wie die gucken können. Das wird also nicht klappen. Schon alleine Tor wird da nicht mitspielen... Generell das Konzept von den Benuzers Daten Leben halte ich für gefährlich. Irgendwann geht es halt nach hinten los... Weil eine kritische Masse aufwacht. Ups. Das ganze Geschäft von Google ist auf Sand gebaut. Auch google wird irgendwann fallen und durch einen anderen Giganten ersetzt werden.

          • 1
            Von Josef Hahn am Mo, 7. Oktober 2019 um 18:38 #

            > Generell das Konzept von den Benuzers Daten Leben halte ich für gefährlich. Irgendwann geht es halt nach hinten los...

            Joa? Für mich sieht es derzeit ungefähr so gefährlich aus, wie es das wäre, einen Kanarienvogel zu ärgern.

            Einen toten Kanarienvogel, wohl gemerkt...

            > Weil eine kritische Masse aufwacht.

            Jaaa..... Natürlich tut sie das........

            Die Leute hängen da so tief drin; da gibt's keinen Weg raus. Laufe zwei Minuten auf der Straße rum. Mein Tipp: Dir sind 0.01 Menschen ohne und 4 Menschen mit Smartphone in den Pranken entgegengekommen.

            Da spielt die Musik. Und da gibt es überhaupt garkeine kritische Masse mehr. Die sog. 'kritische Masse' hat sich ins Facebook einkerkern lassen, und die macht jetzt aus einem Walled Garden heraus irgendwelche Klimarettungsaktiönchen und 'zivilen Ungehorsam'.

            Dieses traurige Häufchen ist nicht kritisch mit irgendwas außer dem Netflixprogramm!

            • 1
              Von klopskind am Mo, 7. Oktober 2019 um 22:29 #

              In Ihrer Kritik steckt ein wahrer Kern.

              Aber wiederholt und scheinbar unaufhörlich über diese Themen zu poltern (inzwischen unter mehreren Artikeln zu finden), hilft hier auch Niemandem. Oder geht es nur darum, Ihrer Frustration Freiraum zu verschaffen? Wäre hier der geeignete Ort dafür?

              Wohlbemerkt fordere ich Sie nicht dazu auf, zu schweigen, sondern Ihre Zeit mehr dafür zu verwenden, es selbst besser zu machen, ein Vorbild zu sein und andere für diesen Weg zu gewinnen. Denn genau das wäre doch in Ihrem (und meinem) Sinne, ja das würde wahre Größe zeigen, nicht wahr?

              Die Anderen(tm) auf Ihre schlechten Angewohnheiten und Fehler hinzuweisen oder ewig über diese zu murren, ist bestenfalls kontraproduktiv; für die Sache, und ich schätze langfristig gesehen sogar für Sie persönlich (Isolationsrisiko?).
              Ihre Kommentare erinnert mich ein wenig an die Rolle, die Clint Eastwood in Gran Torino spielt. ;-)

              • 1
                Von Josef Hahn am Di, 8. Oktober 2019 um 10:14 #

                > Oder geht es nur darum, Ihrer Frustration Freiraum zu verschaffen?

                Ich hätte es so nicht genannt. Aber ...

                > Die Anderen(tm) auf Ihre schlechten Angewohnheiten und Fehler hinzuweisen oder ewig über diese zu murren, ist bestenfalls kontraproduktiv

                Produktiv ist mir da ehrlich gesagt inzwischen egal! Ich rechne da nicht mehr mit Besserung und erarbeite da auch nichts in die Richtung (auf welcher Plattform auch?!?!?! Im Facebook oder im abgeschlossenen Einkaufszentrum?).

                > Isolationsrisiko

                Isolation ist doof. Wenn man sich von etwas Wertvollem isoliert. ;) Aber vor was isoliert man sich denn, wenn man euch aus dem Weg geht? Game of Thrones Inhaltsangaben?

                • 1
                  Von klopskind am Di, 8. Oktober 2019 um 12:12 #

                  a) zu "auf welcher Plattform":
                  Ich meinte Ihr direktes soziales Umfeld. Noch mehr Engagement ist sicherlich lobenswert (Verein(e), Straßenfeste, Informationsveranstaltungen, Seminare etc), aber nicht notwendig, und schon gar nicht jedermanns/jederfraus Sache.

                  b) zu "Aber vor was isoliert man sich denn, wenn man euch aus dem Weg geht?":
                  i) Man isoliert sich von anderen Menschen, und in diesem Fall letztlich von einem Großteil der Gesellschaft.

                  Ich habe viele Freunde, deren Meinungen und Entscheidungen zu den hier von Ihnen tangierten Themen ich zwar nachvollziehen, aber nicht teilen kann, und ich habe einen guten Freund, der seine Stimme einer Partei schenkt, die ich für inakzeptabel halte. Für mich ist die Übereinstimmung in diesen Punkten jedenfalls keine notwendige (hinreichende) Voraussetzung für (gegen) eine soziale Bindung zu einer Person. Er ist da sehr offen und thematisiert das öfters, weil es ihm am Herzen liegt. Bei vielen Freunden interessiert mich auch eher weniger, welcher Partei sie ihre Stimme geben. Neugierig bin ich gelegentlich trotzdem.
                  Freundschaft benötigt auch die gegenseitige Einsicht und den Respekt zur Uneinigkeit bzw. den Fokus auf die Gemeinsamkeiten und die Gleichgültigkeit ggü. gewissen Meinungsverschiedenheiten. Ich respektiere Andersdenkende bis zu dem Punkt, an dem die Gefahr zur bevorstehenden Einschränkung meiner Rechte/Interessen und derer, die mir lieb sind, real wirkt.
                  Letztlich bleibt es aber meinerseits reine Willkür. ;-)

                  Natürlich hat das individuelle Grenzen, siehe meine. Es ist eine individuelle Abwägung, die jeder für sich vornehmen muss. In diesem Sinne bleibt die Entscheidung darüber, wie Sie in diesem Zusammenhang verfahren, natürlich gänzlich Ihnen überlassen.
                  Was wäre der Preis der sozialen Isolation/Integration, den Sie bereit wären zu zahlen? Was befinden Sie als (nicht) "wertvoll"?

                  ii) Wen meinen Sie mit "euch"? Zählen Sie mich da hinzu? Falls ja, auf welcher Grundlage?

                  • 1
                    Von Josef Hahn am Di, 8. Oktober 2019 um 15:50 #

                    > Verein(e), Straßenfeste, Informationsveranstaltungen, Seminare

                    Theoretisch vorstellbar. Aber ich glaube, du wirst heute ein bisschen mehr suchen müssen nach solcherlei Verantstaltungen und Zusammenschlüssen, wenn du nicht dort wieder Bock auf WhatsApp hast.

                    > Man isoliert sich von anderen Menschen, und in diesem Fall letztlich von einem Großteil der Gesellschaft

                    Jep, ist sicher so. Ich empfinde sie nicht mehr als wertvoll. Wenn mir die heutige real existierende Gesellschaft fern bleibt, habe ich nicht den Eindruck, Großartiges zu verpassen. Da kann ich mir in einer Wassertonne auch Mückenlarven züchten; da hab ich auch Gesellschaft. Sie sind auch weniger ärgerlich, wenn sie den Mund aufmachen.

                    > Freundschaft benötigt [...]

                    Jetzt wird's OT. ;) Da gab's immer diese "Liebe ist ..." Sprüche, oder?! Kannst du dich noch erinnern? Goldig...

                    > Was wäre der Preis der sozialen Isolation/Integration, den Sie bereit wären zu zahlen? Was befinden Sie als (nicht) "wertvoll"?

                    Wie gesagt: Ich empfinde die Isolation von der heute draußen existierenden Gesellschaft überhaupt nicht als "Preis". Ich habe um mich herum durchaus ein paar Leute, mit denen ich mal ein Schnitzel essen gehe, oder fünf Bier trinke (und danach noch fünf ^^), oder sowas... Aber der großen Interaktion mit euch bin ich echt müde geworden... Und vorallem: Da bin ich heute softwaretechnisch _überhaupt_ nicht drauf ausgelegt! Und damit sind wir auch schon bei der nächsten Frage:

                    > Was befinden Sie als (nicht) "wertvoll"?

                    Für mich nicht wertvoll ist bspw. jeder, der WhatsApp nutzt, aber keine ebenbürtiges Kommunikationsmittel hat, welches ich auch habe. Diese Grüppchen wo sie alle im WhatsApp hängen, dir aber freundlicherweise anbieten, dich auch ohne WhatsApp einzubinden?! Zeig ihnen direkt den Mittelfinger und gehe weiter... Das funktioniert nicht...

                    • 1
                      Von klopskind am Di, 8. Oktober 2019 um 23:00 #

                      Theoretisch vorstellbar. Aber ich glaube, du wirst heute ein bisschen mehr suchen müssen nach solcherlei Verantstaltungen und Zusammenschlüssen, wenn du nicht dort wieder Bock auf WhatsApp hast.
                      Ich habe Ihre Frage (siehe a)) beantwortet. Dabei ging es um Sie, nicht um mich.

                      Hier gibt es jedes Jahr auch ein Straßenfest in Laufnähe mit einem Freifunk-Stand. Vereine und User Groups sind auch in der Stadt. Suchen müsste ich hier nicht lang.

                      Jep, ist sicher so. Ich empfinde sie nicht mehr als wertvoll. Wenn mir die heutige real existierende Gesellschaft fern bleibt, habe ich nicht den Eindruck, Großartiges zu verpassen. Da kann ich mir in einer Wassertonne auch Mückenlarven züchten; da hab ich auch Gesellschaft. Sie sind auch weniger ärgerlich, wenn sie den Mund aufmachen.
                      Na dann ist doch alles prima, wenn Sie damit glücklich werden. Ich würde es nicht.

                      Aber der großen Interaktion mit euch bin ich echt müde geworden...
                      Wenn das so ist, warum sind Sie hier häufig aktiv? Und nochmals: Wer ist "euch"?

                      Zeig ihnen direkt den Mittelfinger und gehe weiter... Das funktioniert nicht...
                      Aha, viel Glück...

                      • 1
                        Von Josef Hahn am Mi, 9. Oktober 2019 um 11:59 #

                        > Hier gibt es jedes Jahr auch ein Straßenfest in Laufnähe mit einem Freifunk-Stand. Vereine und User Groups sind auch in der Stadt. Suchen müsste ich hier nicht lang.

                        Wow. :) Na dann... ^^

                        >> Da kann ich mir in einer Wassertonne auch Mückenlarven züchten; da hab ich auch Gesellschaft.
                        > Na dann ist doch alles prima, wenn Sie damit glücklich werden. Ich würde es nicht.

                        Wie die Cleverlies um mich herum es umschreiben würden: Es ist ein pragmatischer Versuch, aus der suboptimalen Ausgangslage noch das Beste zu machen; wohl wissend, dass das theoretische Optimum nochmal etwas anderes wäre...

                        >> Aber der großen Interaktion mit euch bin ich echt müde geworden...
                        > Wenn das so ist, warum sind Sie hier häufig aktiv? Und nochmals: Wer ist "euch"?

                        Das fragst du ja immernoch einmal am Tag... :) Es ist doch sprachlich klar definiert, was dieses Pronomen bedeutet.

                        • 1
                          Von klopskind am Mi, 9. Oktober 2019 um 12:36 #

                          Das fragst du ja immernoch einmal am Tag... :) Es ist doch sprachlich klar definiert, was dieses Pronomen bedeutet.
                          Da Sie weiterhin so rumdrucksen, muss ich annehmen, dass Sie damit die Leserschaft von Pro-Linux benennen. Die sich daraus ergebenden haltlosen Unterstelltungen ihrerseits in Ihren Kommentaren hier und analog unter anderen Artikeln sind demnach inakzeptabel und keiner weiteren Diskussion würdig.

                  1
                  Von kamome umidori am Di, 8. Oktober 2019 um 16:37 #

                  > Produktiv ist mir da ehrlich gesagt inzwischen egal! Ich rechne da nicht mehr mit Besserung

                  Dann kannst Du Dir Deine ständigen Vorhaltungen an „die“/„uns“ ja sparen – oder, wie vorgeschlagen, doch eine hilfreichere Form finden?

        1
        Von Oiler der Borg am Mo, 7. Oktober 2019 um 15:44 #

        Bislang habe ich Mozilla eher nicht in dieser Ecke gesehen.
        Dann hast Du die letzten 5-7Jahre nicht mehr hingekuckt

        1
        Von cyberpatrol am Di, 8. Oktober 2019 um 11:10 #

        Frage:

        Das weiß ich vorher woher?
        Antwort:
        Android-Phones und Amazon Echo-Geräte sind da Kandidaten in meinem Netz.

3
Von schmidicom am Mo, 7. Oktober 2019 um 13:52 #

Das alte DNS und HTTPS miteinander zu verwursteln ist einfach nur widerlich. Wenn schon verschlüsseltes DNS dann bitte gleich richtig mit DoT.

1
Von Josef Hahn am Mo, 7. Oktober 2019 um 14:14 #

> Mozilla hat sich hier beispielsweise Cloudflare als Partner ausgesucht.

Und für das VPN auch?

Oder ist es eher so, dass Cloudflare sich einfach den Firefox gegönnt hat?

So ganz offen würde ich es an deren Stelle auch nicht kommunizieren...

1
Von CS am Mo, 7. Oktober 2019 um 14:33 #

Gibt es denn funktionierene DoT-Clients? Ich habe bislang nur mit stubby rumgemacht und das hat hier regelmäßig unter verschiedenen Konfigurationen auf verschiedenen Maschinen den Dienst nach ein paar Tagen eingestellt.

Es muß dann neu gestartet werden und dann ist auch wieder alles hübsch, aber das kann ja nicht Sinn der Sache sein. Aktuell teste ich gerade DoH via cloudflared und nebenbei noch dnscrypt-proxy.

  • 0
    Von schmidicom am Mo, 7. Oktober 2019 um 15:19 #

    Android 9 hat einen funktionierenden DoT-Client: Android 9 supports "Private DNS" which uses DNS-over-TLS
    Natürlich geht das nur wenn der TCP-Port 853 frei ist.

    Davon abgesehen kenne ich persönlich nur noch den systemd-resolved der ebenfalls DoT kann.

    • 1
      Von Potz Blitz am Mo, 7. Oktober 2019 um 17:27 #

      Wenn ich den systemd-resolved mit DoT nutzen möchte; wie würde ich das anstellen?

      Ich nehme mal an, zuerst muss ich (unter Manjaro) das Paket "systemd-resolved" installieren. Dann vermutlich das Unit-File suchen und dessen Einstellungen auf DoT ändern. Noch ein $_systemctl_restart_... Gesetzt der Browser benutzt schon das Standard-DNS des Betriebssystems: War es das dann?

      Danke vorab für alle sachdienlichen Hinweise.

      • 1
        Von Sylvan am Mo, 7. Oktober 2019 um 18:39 #

        >>Doku< < dazu schon gelesen?

        Laut dieser sollte es genügen in der resolved.conf. den Parameter DNSOverTLS auf den gewünschten Wert zu setzen.

        0
        Von schmidicom am Mo, 7. Oktober 2019 um 20:21 #

        Über Manjaro weiß ich so gut wie nichts aber ArchLinux hat eine recht gute Anleitung: ArchWiki: systemd-resolved

        • 1
          Von Potz Blitz am Mo, 7. Oktober 2019 um 20:50 #

          Danke (auch an Sylvan). Ich stellte nur fest, dass laut meinem Paketmanager systemd-resolved nicht vorgabemäßig installiert ist. Laut Paketmanager arbeitet das System per Default mit "resolvconf".

          Allerdings gibt es auf meinem System eine Konfigurationsdatei namens "/etc/systemd/resolved.conf". Dort kann man auch den Parameter DNSOverTLS setzen. Wenn ich mutig bin, werde ich mal mein Glück versuchen ...

2
Von Anonymous am Mo, 7. Oktober 2019 um 23:37 #

Mal etwas anders betrachtet:

DoH kann sinnvoll sein, wenn man weder dem Provider noch der Jurisdiktion im eigenen Land vertrauen kann und daher seine Daten lieber an eine US-Firma (Cloudflare) ausliefert, die sie verhökern kann (bei US-Providern durchaus üblich) und mit den US-Geheimdiensten teilen muss.

In der EU wäre die Hökerei mit Kundendaten wohl juristisch recht riskant. Nutzt man den DNS seines Providers, sollten die DNS-Daten im Zubringer-Netz des Providers bleiben und nicht um die halbe Welt reisen.

NSA, CIA, GCHQ und andere Staatskriminelle werden zwar in den Provider-Netzen drinhängen (siehe BelgaCOM) und zumindest passiv mithören (siehe BND-NSA-Ausleitungen am DE-CIX; da ist eine Klage anhängig), aber dass gewöhnliche Kriminelle da herumwüten, Kundendaten abgreifen, DNS-Antworten und Routen verbiegen, um Opfer auf Phishing-Seiten zu locken, erscheint zumindest zur Zeit schwer vorstellbar.

Und nur gegen solche gewöhnliche Kriminelle könnte DoT helfen. Ist ein solches Szenario wahrscheinlich?

DoH dürfte hierzulande eher ein Privacy-Risiko sein, und der Sicherheitsgewinn von DoT scheint mir eher gering, weil er nicht gegen Staatskriminelle schützt.

1
Von Jürgen Sauer am Di, 8. Oktober 2019 um 10:41 #

Die bestehende Infrastruktur:
- ist dezentral
- für Insel Netze geeignet
- funktional
- auf Wunsch cryptografisch gesichert
- Kosten günstig
- ohne zusatz Kosten/Aufwand betreibbar
- komplett überall verfügbar

DNS-over-HTTPS ist dagegen das komplette Gegenteil:
- zentral, einige wenige kontrollieren es
- nicht machbar in Firmen und Inselnetzen
- dysfunktional
- Teuer, Schlüssel müssen gekauft werden
- nur für Browser verfügbar

So what?
Trash and Dump this shitty Trash Idea!

PS Edit Typo

Dieser Beitrag wurde 1 mal editiert. Zuletzt am 08. Okt 2019 um 10:42.
  • 1
    Von Scipio am Di, 8. Oktober 2019 um 10:59 #

    DoH kann das beschriebene Gegenteil sein aber auch dezentral und flexibel.

    Mit der Server-Push Funktion kann ein Webserver gleich die DNS Antworten für Inhalte der Seite mitliefern. Damit ergeben sich ein paar tolle und nützliche Funktionen. Ein nützliches Beispiel:
    Der in Firmen oft genutzte Split-DNS kann damit vermieden werden, da die Anfragen von Intern an die Webserver automatisch die korrekten Addressen bekommen.

    Die Zertifikate für den eigenen DoH Server können in Firmen von der eigenen CA kommen oder auch von Letsencrypt. In beiden Fällen fallen keine Kosten an.

    Mit den verfügbaren DNS Proxy oder Brücken ist DoH nicht nur auf den Browser limitiert:
    https://github.com/DNSCrypt/dnscrypt-proxy
    https://github.com/m13253/dns-over-https

    Möglichkeiten:
    Lokales Netzwerk bietet DNS und DoH an aber die Abfragen werden nach extern nut mit dem ausgewählten Protokoll gesendet. Es lässt sich auch der pihole oder ähnliches weiterhin betreiben.

    Es gibt auch schon eine gute Liste an DoH Anbietern:
    https://github.com/curl/curl/wiki/DNS-over-HTTPS

    Ich finde den Ansatz nicht schlecht aber die Umsetzung von Mozilla finde ich katastrophal. Lasst den Benutzer aussuchen welchen DoH Server er nutzen will und aktiviert DoH nur dann automatisch wenn der aktuelle Anbieter dies unterstützt.

1
Von Scipio am Di, 8. Oktober 2019 um 10:47 #

Der DoH Standard ist nicht nur die immer beschriebene Zentralisierung von den DNS Anfragen an einzelne Anbieter. Es wird mit Server-Push auch eine Möglichkeit angeboten, dass Webserver DNS Antworten für die Anzeige benötigten Seiten gleich selbst mit Ausliefern kann.

RFC zum Standard:
https://tools.ietf.org/html/rfc8484

Bezüglich der Diskussion im Browser gefällt mir der Ansatz von Google, dass DoH nur aktiviert wird wenn der aktuell genutzte Anbieter dies auch anbietet. Sprich wenn bisher der Google DNS genutzt wurde wird dieser nun mit DoH genutzt. Wenn der lokale Provider eingetragen war und dieser DoH nicht kann so wird die Funktion nicht aktiviert. Gilt dann natürlich auch für DNS Server im lokalen Netzwerk.

Zusätzlich die Option zum einfachen Auswählen anbieten und das Problem wäre entschärft.

Anbieter gibt es ja schon einige:
https://github.com/curl/curl/wiki/DNS-over-HTTPS

Lokal am Pihole lässt sich eine DoH zum pihole DNS Verbindung einrichten:
https://github.com/DNSCrypt/dnscrypt-proxy
https://github.com/m13253/dns-over-https

Aber der Ansatz von Mozilla gefällt mir auch nicht!

  • 1
    Von klopskind am Di, 8. Oktober 2019 um 13:14 #

    Der DoH Standard ist nicht nur die immer beschriebene Zentralisierung von den DNS Anfragen an einzelne Anbieter. Es wird mit Server-Push auch eine Möglichkeit angeboten, dass Webserver DNS Antworten für die Anzeige benötigten Seiten gleich selbst mit Ausliefern kann.
    1. Laut Abschnitt 5.3 des RFC basiert 'Server Push' auf einem gleichnamigen Feature von HTTP/2.

    'Server Push' ist nur eine optionales Feature von DoH, denn es setzt HTTP 1.1 voraus und empfiehlt HTTP/2 lediglich.

    Daher ist unklar, inwieweit 'Server Push' per DoH implementiert und tatsächlich genutzt werden wird.

    2. Selbst mit diesem Feature geht mindestens die erste Anfrage zum Auflösen des Domainnamens in eine Adresse weiterhin an den konfigurierten DoH-Dienstanbieter (z.B. Cloudflare), nicht an den gewünschten Server, da dessen Adresse ja initial unbekannt ist und abgefragt werden muss.

    So oder so, die DoH-Dienstanbieter werden trotzdem an die wertvollsten Informationen gelangen und diese in Profit umwandeln.

    3. Auf wie viele Akteure im öffentlichen Teil des Internet trifft dieses Funktion zu? Kann man die nicht an zehn Fingern abzählen? Cloudflare, Google, Facebook, Amazon, Akamai, Microsoft, Level3, wer noch?


    Ergo: Klingt nach Zentralisierung.

    • 1
      Von Scipio am Di, 8. Oktober 2019 um 15:12 #

      Bin auch gespannt wie oft das Push anzutreffen sein wird.
      Die Möglichkeiten wären schon sehr praktisch aber sind halt leider fast unbekannt.

      Für den initialen Connect hoffe ich deshalb, dass die Umsetzung mit Auswahl des Anbieters und alternativ der Weg von Google (DoH nur aktivieren wenn es der aktuelle Anbieter kann) kommt.

      Die flächige Voreinstellung von Cloudflare sehe ich auch absolut bedenklich.
      Mozilla hat leider in letzter Zeit mehrfach Entscheidungen getroffen die ich nicht verstehe ...
      (Im Endeffekt schaden sie damit auch ihren über Jahre aufgebauten Ruf!)

      • 0
        Von Verfluchtnochmal_5987108 am Fr, 11. Oktober 2019 um 01:19 #

        DOH ist schlichtweg vertrottelt, ohne wenn und aber, so etabliert man keinen Standard

        Das hätte erst in die OS resolver gehört die dann starttls oder meinetwegen anderen Port wie bei https bei den ausgehenden Requests präferieren und hat im Client nichts zu suchen

Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung