Welche DoT (DNS over TLS) Server nutzt ihr? Und warum?

[Helge01]

Ich nutze über meinen Pihole/Unbound direkt die Rootserver, damit habe ich zwar keine DNS Verschlüsselung, allerdings, muss zumindest dein ISP eh wissen, wohin du willst, sonst könntest ja nicht ankommen.

Solange SNI nicht verschlüsselt ist, weiß jeder Provider welche Seite du aufrufst. SNI enthält den Hostnamen in der Client-Hello-Nachricht vor dem TLS-Handshake. Dagegen nützt auch kein DoH oder DoT etwas.

 

[Zer0DEV]

DNSCrypt, ist meinem empfinden nach besser als DoT und DoH.

 

[CoMo]

@Zer0DEV Hot take. Warum?

 

[qiller]

betreibt man natürlich seinen eigenen DNS-Resolver

Kommt aufs Netzwerk an. Bei kleineren Netzwerken, wo nur 2, 3 Geräte Namensauflösungen initiieren, dauert die Namensauflösung einfach länger, wenn der Domainname erstmal iterativ aufgelöst werden muss. Da ist Forwarding zu nem externen Resolver, der mit einer viel höheren Wahrscheinlichkeit den DNS-Namen schon gecached hat, effektiver. Bei größeren Netzwerken könnte man aber durchaus auch in den Recursor Mode schalten.

 

[CoMo]

Das ist natürlich völliger Quatsch. Man löst rekursiv auf und cached. Klar dauert die erste rekursive Auflösung länger. Aber so funktioniert auch jeder öffentliche Resolver.

Mach deinen Cache einfach ausreichend groß und lege ihn auf einen persistenten Speicher, z.B. eine SSD.

Wenn du wirklich so wenige Geräte mit so wenigen Requests hast, dass in der Zeit die TTL abläuft, dann schalte serve-expired ein.

 

[Zer0DEV]

@CoMo Die Anfrage und die Antwort wird direkt in UDP/TCP verschlüsselt.

Eine ganze gute Erklärung zu den Unerschieden gibt es unter https://dnscrypt.info/faq.

 

[CoMo]

Die Anfrage und die Antwort wird direkt in UDP/TCP verschlüsselt.

Ok. Aber warum ist das nun besser als DoT und DoH? In welchem Szenario wird das benötigt?

 

[User007]

@CoMo:

Und Zuhause betreibt man natürlich seinen eigenen DNS-Resolver. [...]

Wie ist das genau gemeint - gibt's hier evtl. ein Mißverständnis?

Wird hier die Sache mglw. wieder (nur) im wissenden Verständnis aus der persönlich-individuellen "Nerd"-Blase betrachtet?

Btw.:
Wie ist's mit dem (neuen) Standard DoQ?​

 

[CoMo]

Wie ist das genau gemeint - gibt's hier evtl. ein Mißverständnis?
[]Wird hier die Sache mglw. wieder (nur) im wissenden Verständnis aus der persönlich-individuellen "Nerd"-Blase betrachtet?[/]

Der eigene DNS-Resolver löst rekursiv auf. Das bedeutet, er fragt rekursiv über die Root-Server nach der TLD und arbeitet sich dann bis zum autoritativen Nameserver bis zur angefragten Domain herunter.

Meine OPNSense macht das so. Jeder OpenWrt-Router kann mit ein paar Klicks so konfiguriert werden.

Und auf jedem Debian erzeugt ein apt install unbound genau so einen Resolver. Der wird dann via DHCP als DNS-Server an die Clients verteilt und schon hat man seinen eigenen Resolver. Und muss nix verschlüsseln.

 

[Helge01]

Wie ist's mit dem (neuen) Standard DoQ?

Eigentlich das selbe wie DoH oder DoT, nur durch UDP statt TCP etwas schneller. Dafür ist QUIC unheimlich komplex, was auch wieder zu Problemen führen kann.

 

[CoMo]

Wie ist's mit dem (neuen) Standard DoQ?

Das betrifft nur die Art, wie die Daten übertragen werden. Mit dem DNS selbst hat das eigentlich gar nichts zu tun.

 

[User007]

@CoMo:
Deine "Schilderung" in allen Ehren, aber - sorry -, sie beantwortet (zumind. für mich) kein bißchen meine Frage.

Was ist denn genau die Bedeutung von "der eigene DNS-Resolver"?
Muß ich denn dafür nun zwingend eine besondere Hardwarekomponente mit entsprechender Konfiguration betreiben, oder was?​

 

[Blutomen]

Nutze noch die von dns.sb.
Gerade die beiden Server in Düsseldorf und Frankfurt antworten sehr fix.

 

[CoMo]

Muß ich denn dafür nun zwingend eine besondere Hardwarekomponente mit entsprechender Konfiguration betreiben, oder was?

Irgendwo muss der laufen, klar. Wenn du keinen Router hast, auf dem du Software installieren kannst, dann dein NAS, ein Raspberry Pi, irgendein Mini-PC oder Thin Client etc. Irgendwas was immer läuft halt.

 

[sTyLzYo]

das schon seitdem ich (V)DSL in nutzung habe, also in meinem fall seit 13 jahren. besseres routing als per telekom

DNS hat absolut gar nichts mit dem Routing/Peering zu tun

die Route gibt immer noch dein ISP / VPN vor

 

[qiller]

Das ist natürlich völliger Quatsch.

Du, ich geb nur das wider, was schlauere Leute als ich von sich geben. Z.B. Leute, die DNS-Resolver in Firewalls implementieren: https://www.ipfire.org/blog/what-you-can-do-with-the-new-dns-features-in-ipfire

There are some downsides to a local recursor: They can be slightly slower because of more steps to resolve a DNS query and they cause some other privacy problems. You ISP's name server is executing exactly the same for each query, but also caches responses. That means that there is a good chance that somebody else has already visited www.ipfire.org very recently and therefore the name server already knows the IP address and can send the reply quickly from the cache.


If you have a swift internet connection, you probably do not need to worry about this, but if you are connecting using a high-latency wireless link, you will probably feel DNS being a couple of milliseconds slower. Normally this is not noticeable.

Edit: Und die Antwort eines externen DNS-Resolvers wird ja genauso lokal gecached (DNS-Proxy halt), wie die Antwort aus einer iterativen Anfrage im Recursor Mode.

 

[User007]

@CoMo:
Ja siehst Du, das ist eben nix für den "Otto-Normal" Nutzer - dsh. eben auch meine Nachfrage in #28.

 

[NerdmitHerz]

DNS hat absolut gar nichts mit dem Routing/Peering zu tun

denn noch ist meine verbindung per dns schneller als per stock

unabhängig davon davon ob 120 Mbit/s (cable), 175 Mbit/s (vdsl) oder 1100 Mbit/s (fiber) habe ich den schnelleren Seitenaufbau. Da brauch ich mein vpn. Wenn dann habe ich es genutzt für Spiele günstig kaufen zu können und/oder gar früher spielen zu dürfen.

 

[CoMo]

@CoMo:
Ja siehst Du, das ist eben nix für den "Otto-Normal" Nutzer - dsh. eben auch meine Nachfrage in #28.

Den "Otto-Normal" Nutzer interessiert diese ganze Diskussion hier sowieso nicht. Wer schon mal in seinem Leben einen Computer benutzt hat, der bekommt auch einen DNS-Server auf einem 15€ Thin Client eingerichtet.

 

[User007]

@CoMo:

Njäääh... ich behaupte, Du irrst hier leider - sicher, ab einem gewissen Punkt fühlen sie sich überfordert und verlieren mglw. die Aufmerksamkeit, aber grundsätzlich besteht bestimmt ein Informationsinteresse.​

Wer schon mal in seinem Leben einen Computer benutzt hat [...]

Das denkst auch nur Du und zeigt eben leider genau diese Eindimensionalität aus dem "Nerd"-Blickwinkel in der gesamten Betrachtungsweise.
Das Thema DNS ist durchaus auch für die "Otto-Normal"-Nutzer präsent, was genügend entsprechende Nachfragen zeigen. Genauso wie hier, obwohl ich den TE nun nicht unbedingt als völlig Unbedarften einordnen würd', zeigt's aber doch das mittlerweile entstandene Interesse bzgl. "Sicherheitsmechanismen" im Cyberbereich zum Eigenschutz, nicht zuletzt auch durch die vorangetriebene medial postulierte "Erinnerung" an die wahrzunehmende Eigenverantwortlichkeit.
Die "Unbedarften" interessieren sich eher nicht für die technisch-defizilen Einzelheiten, die sich grad' oftmals hier in solchen Threads im dynamischen Austausch entwickeln, aber allein zum Mitlesen sollte wohl auch kein Fach-Diplom nötig sein.​