Kommentar zu DNS über HTTPS

Zur Zeit finden sich immer wieder Berichte über DNS über HTTPS. Nun, was ist das überhaupt, ist es sinnvoll und soll ich mir jetzt ein Bein ausreissen um es zu kriegen? In diesem Essay werden diese Themen behandelt.

Was ist DNS über HTTPS? (Was ist DNS überhaupt?)

Das DNS(=Domain Name System) ist ein Netzwerk von Servern, welche Domainnamen in IP-Adressen umwandeln. Bitte, WAS? Es lässt sich ganz einfach beschreiben: Jemand gibt bei seinem Computer im Browser in der Adresszeile www.goodguide.ch ein, daraufhin fragt der Computer den eingetragenen DNS-Server nach der IP-Adresse. Dieser Antwortet daraufhin mit 46.30.215.242. Daraufhin weiss der Computer wo er seine Anfrage senden muss.

Das “Problem” an diesem System ist, dass diese Anfragen unverschlüsselt stattfinden. Das heisst, dass jeder Computer dazwischen mitlesen kann, welche Domains du eingegeben hast. Es geht noch weiter, nämlich dass wenn jemand mit bösen Abasichten seinen Computer dazwischen platziert (was in einem öffentlichen WLAN eine Sache von wenigen Klicks ist) diese Anfragen manipulieren kann und die Anfrage an www.goodguide.ch neu beim Server von bedandtree.com oder von ecosia.org landet. Nun, in diesem Fall wäre der Schaden gering, aber nun stellt euch vor, die Anfrage an eure Bank wird an einen manipulierten Server geleitet, der sich als eure Bank ausgibt. Daraufhin loggt ihr euch bei diesem Server in euer Onlinebanking ein. Dieser Schaden ist schnell sehr hoch.

DNS über HTTPS verhindert dies, in dem es die Anfragen verschlüsselt und somit nahezu unmöglich macht diese Anfragen mitzuhören oder gar zu manipulieren. (Theoretisch geht es mithilfe von Quantencomputern, aber zur Zeit existieren noch (lange) keine Quantencomputer, die die nötige Leistung aufbieten.)

Ist DNS über HTTPS Sinnvoll und soll ich mir deswegen ein Bein ausreisen?

Wie oben bereits angetönt ist das System vom Grundsatz her sinnvoll, da es einen Angriffsvektor unterbindet. Jedoch stellt sich die Frage, was genau unterbunden wird.

Zum einen wird das mitlesen der DNS-Anfragen unterbunden. Dies ist nicht wirklich ein grosses Problem, denn wenn die DNS-Abfragen mitgelesen werden können, kann auch festgestellt werden, wohin das Gerät daraufhin telefoniert.

Zum anderen wird das manipulieren der DNS-Anfragen unterbunden. Nun, dass ist nun eine schon eher schwerwiegendere Attacke und der potentielle Schaden ist auch grösser. Nur gibt es ein Problem: Die meisten Webseiten verschlüsseln ihren Datenverkehr zum Endgerät über HTTPS (ja dasselbe, hier kommt es auch her!). Dieses Protokoll setzt eine Authentifizierung der Geräte beim eröffnen der Verbindung voraus. (Wenn dies eure Bank nicht macht, solltet ihr schleunigst die Bank wechseln! Wobei, allgemein Webseiten, die das nicht machen solltet ihr meiden.) Diese Authentifizierung erfolgt über Zertifikate, welche von einer vertrauenswürdigen Stelle ausgegeben werden. Nun ein Zertifikat selbst zu erstellen ist ein Kinderspiel, jedoch ein vertrauenswürdiges Zertifikat für eine Domain, die einem nicht gehört, zu kriegen, dass ist zur Zeit nahezu unmöglich. Und wenn er dies bei normalen Webseiten kann, kann er es auch für einen DNS-Server.

Fazit

Ich fasse zusammen: DNS über HTTPS ist sicher sinnvoll, da es für BlackHats (= böse Hacker) eine zusätzliche Hürde darstellt. Jedoch sollte man sich hierfür nicht ein Bein ausreissen, denn der Schutz ist vorhanden aber nicht besonders gross. Nichtdestotrotz unterstütze ich persönlich diese Bewegung. Denn DNS über HTTPS ist eine gute Sache, jedoch sicher kein Wundermittel gegen alle Übeltäter auf diesem Planeten.