OK, ich fange nicht damit an zu erklären was DNS ist und vorallem wie wichtig es ist. Wenn dir das nichts Sagt, tu dir selbst einen Gefallen und lese ein bisschen mehr darüber wie das Internet funktioniert. Wahrscheinlich verwendest du es täglich, da ist ein wenig Hintergrundwissen nicht schädlich. Gute Quellen dazu sind z.B. hier oder hier.
 

DoH - DNS over HTTPS

Normale DNS Anfragen sind einfache Abfragen per UDP Port 53, es gibt dort per Default keine Vertrauensvolle Bestätigung der Antwort, man muss sich darauf verlassen was der Provider zurückliefert, jeder kann mitlesen. Dies wird daher häufig ausgenutzt, zum einen für Tracking und Nutzeranalysen zum anderen mit bösen Absichten auch um das eigentliche Ziel "umzulenken" ähnlich bekannt aus Skimming oder Phising Angriffen.

Es gibt Wege (DNSSEC) um die Validität einer DNS Auskunft zu prüfen doch auch bei DNSSEC ist dies nur eine Vertrauensstufe der Authentizität, das Problem der unverschlüsselten Übertragung bleibt.

DoH dagegen packt den kompletten DNS Request in von transparenten 53/UDP Anfragen in das TLS Protokoll über TCP/443. Alles von der Anfrage über Antwort bis Validierung ist nun für dritte nicht einsehbar. Weder der Provider noch "Nachbarn" im selben WIFI können die DNS Anfragen tracken. Natürlich ist dies nicht vergleichbar mit einer vollen VPN Verschlüsselung, doch das nutzen ist einfacher und nach aktivieren quasi unsichtbar im Hintergrund ohne die Nachteile eines VPN.
 


TRR in Firefox 60+

Seit Firefox v60+ kann TRR (Trusted Recursive Resolver) verwendet werden um den DNS über DoH zu zwingen. Um es zu aktivieren einfach im Firefox die Erweiterte Einstellugns URL aufrufen: about:config

Hier nach TRR Suchen:

network.trr.mode
network.trr.mode = 0        Disabled
network.trr.mode = 1        Ask DoH and normal DNS, use first reply
network.trr.mode = 2        Use TRR only on timeout use system DNS
network.trr.mode = 3        Use TRR only
network.trr.mode = 4        Statistical use of TRR but rely on system dns
network.trr.mode = 5        Force Disable

Vorgeschlagene Einstellungen:
network.trr.mode                       = 2
network.trr.uri                        = https://cloudflare-dns.com/dns-query
network.trr.bootstrapAddress           = 1.1.1.1
network.trr.wait-for-portal            = true
network.captive-portal-service.enabled = true
network.trr.request-timeout            = 1500


Wenn du die Cloudflare Service nicht verwenden möchtest, es gibt mittlerweile einige freie, no logging, Services welche auch DoH anbieten. Das ganze funktioniert übrigens auch im Firefox Android client. 

Durch den Aufruf von about:networking#dns im Firefox kann man einfach prüfen ob TRR verwendet wird oder nicht.

(Header Picture by E.Kurnaz)

✉ Marco Götze//