Welche DoT (DNS over TLS) Server nutzt ihr? Und warum?

[Engaged]

Ich dachte eher das geht dabei um manipulationsschutz anstatt um die Sichtbarkeit? 🤔

 

[qiller]

Ich dachte eher das geht dabei um manipulationsschutz

Dafür ist DoT nicht zuständig. Es könnte ja auch der Betreiber des DNS-Resolvers die Antworten manipulieren. Dafür gibts halt DNSSEC. DoT dient nur dazu, die Kommunikation zwischen DNS-Client und DNS-Resolver zu verschlüsseln. Mehr nicht. Was da für eine Antwort drin ist, interessiert DoT nicht.

Wie hier aber schon richtig benannt wurde, ist DoT ohne Nutzung von ESNI bzw. ECH nicht wirklich zielführend. Mit DoT hat man zwar auf Ebene der DNS-Auflösung Privatsphäre gegenüber dem Provider, aber ohne ESNI bzw. ECH nicht auf Ebene von HTTPS. Im Grunde ist es sogar so, dass jetzt 2 Stellen deine Verbindungen kennen. Dein Provider über SNI/HTTPS und der Betreiber des DNS-Resolvers normal über deine DNS-Anfrage.

Wem Privatsphäre wichtig ist, sollte also auf die Wahl seiner DNS-Resolver acht geben oder halt selber einen hosten.

 

[rushfox]

Wem Privatsphäre wichtig ist, sollte also auf die Wahl seiner DNS-Resolver acht geben oder halt selber einen hosten.

Dann wäre DNS mit aktivem ECS das falsche?
Dort wird dann ein teil der IP übermittelt, um den nächstliegenden Server zu nutzen, wenn ich es richtig verstanden habe.

 

[qiller]

Dann wäre DNS mit aktivem ECS das falsche?

Naja, für maximale Privatsphäre schon. Gefahr ist dann aber auch, dass der Autoritative DNS-Server nicht weiß, woher die Anfrage kommt, und im schlimmsten Fall dann eine IP-Adresse für (CDN)-Server zurückliefert, die in Australien stehen, um mal son Worst-Case zu nennen.

 

[Engaged]

https://digitalcourage.de/support/zensurfreier-dns-server

Wir haben uns deshalb dafür entschieden, "EDNS Client Subnet" auf unseren Servern zu deaktivieren. Beim Ansurfen von Großanbietern ist uns deshalb schon berichtet worden, dass die Inhalte manchmal langsamer als normal laden.

ECS ist halt schon wichtig, wer keine Paranoia hat sollte besser nicht drauf verzichten für bestes performance. 😅

 

[rushfox]

@qiller @Engaged
Würde man mit aktivem ECS auch was beim Gaming merken?
Besseren Ping durch nahegelegen Server?

 

[Engaged]

Kommt immer drauf an, es wird ja immer versucht den kürzesten Weg zu finden, kommt auch viele Umstände drauf an, meist haben Game Server ja nicht so viele Rechenzentren, aber sagen wir mal alles geht nichts muss. 😅

 

[Klaus0815]

Ich benutze nextDNS auf allen Geräten zu Hause und auf allen Smartphones der Familie weil ich damit zentral für alle Filter festlegen kann, eine Protokollfunktion, eigene allow und deny Listen pflegen kann, aber auch fertige Listen wie OISD, HaGeZi, adguard, easylist usw usw. nutzen kann. Durch individuelle DNS Adressen kann ich jeder Serveradresse einen Namen Davorsetzen (Papa-......dns, Mama-......dns usw) Sodass man auch schnell im Protokoll erkennt wenn's mal Probleme gibt. Zudem gibt's Recht hohen Ausfallschutz. Es gibt auch ne Menge Konfigurationsmöglichkeiten, wie zb. das grundsätzliche Erlauben von affiliated links, die Auswahl des Servers auf dem die Protokolle gespeichert werden (Schweiz, USA oder EU)

Bin sehr zufrieden.

 

[rushfox]

Hört sich kompliziert an. ^^

 

[Klaus0815]

Alles "kann". Der läuft auch Out of thr Box. Um so länger man den nutzt umso mehr freut man sich darüber auch mal einfach eine einzelne Seite freigeben zu können ohne dass man den ganzen DNS deaktivieren muss.