Den Domain Name Servern (DNS) kommt eine zentrale Rolle in der Internetinfrastruktur zu: Sie ordnen den hinter jeder Seite stehenden, numerischen IP-Adressen einen Klarnamen zu. Damit der Browser weiß, welcher Rechner sich beispielsweise hinter "derstandard.at" verbirgt, muss er also zunächst eine Anfrage an einen DNS schicken. Und genau hier liegt ein Problem für die Privatsphäre der Nutzer: Erfolgt die Kommunikation dabei doch im Normalfall im Klartext, womit jeder, der Zugriff auf die Datenleitung hat, haarklein nachvollziehen kann, welche Seiten man besucht – vom Provider bis zu Behörden.

Ausgesperrt

Abhilfe soll dabei ein noch recht junger Standard schaffen, der sich DNS-over-TLS nennt. Dabei werden entsprechende Anfragen nämlich verschlüsselt, zumindest auf diesem Weg gibt es für Dritte also keinen Einblick mehr. Und nun unterstützt einer der größten Softwarehersteller diese neue Möglichkeit.

In einem Blogposting kündigt Google den Support für DNS-over-TLS auf den eigenen Domain Name Servern an. Dabei habe man besonderen Wert auf eine optimale Performance gelegt, betont der Softwarehersteller. Zudem unterstützt man auch bereits eine Vorversion von TLS 1.3, was sowohl Sicherheit als auch Geschwindigkeit noch einmal verbessern soll. TLS kommt auch zur Absicherung der eigentlichen Datenübertragung via HTTPS zum Einsatz.

Android 9

Eine weitere Voraussetzung ist aber natürlich, dass die eigenen Geräte bereits DNS-over-TLS unterstützen. Dies ist etwa bei Smartphones mit Android 9 der Fall, wo man den verschlüsselten Google-DNS über die Netzwerkeinstellungen eintragen kann. Der korrekte Eintrag lautet hier "dns.google". Für Linux gibt es wiederum mit stubby ein Tool, um DNS-over-TLS einzurichten.

Google ist nicht der erste Anbieter von DNS-over-TLS. Bereits vor einigen Monaten hat Cloudflare einen ähnlichen Service vorgestellt. Gemein ist beiden, dass man natürlich dem jeweiligen Anbietern vertrauen muss, immerhin könnte dieser die eigenen Internetaktivitäten theoretisch am DNS mitlesen. Beide Firmen versichern aber, dass persönlich zuordenbare Daten nur kurzfristig und nur im zur Aufrechterhaltung des Services notwendigen Ausmaß gespeichert werden.

Disclaimer

Ein perfekter Schutz ist all das übrigens trotzdem noch nicht. So könnten Provider noch auf einem anderen Weg an das Internetverhalten ihrer Kunden kommen. Bei der Aufnahme einer verschlüsselten Verbindung wird nämlich eine Server Name Indication (SNI) ausgetauscht – und zwar unverschlüsselt. Doch auch hier arbeiten Firmen wie Cloudflare derzeit an einer verschlüsselten Alternative – der eSNI. (Andreas Proschofsky, 10.1.2019)