Lücken in der DNS-Verschlüsselung finden und schließen

Inhaltsverzeichnis

Spätestens seit Snowden ist klar, dass man möglichst alles verschlüsseln sollte, was man durchs Internet schickt. Dies gilt besonders für die DNS-Kommunikation: Sie gibt detailliert Aufschluss darüber, welche Websites Sie ansteuern und welche Dienste Sie verwenden. Denn mit jeder Website, die Sie aufrufen, verschickt Ihr Browser zahlreiche DNS-Anfragen an einen Resolver, um die IP-Adressen der verwendeten Domains zu erfragen, bevor er diese kontaktieren kann – er fragt zum Beispiel nach heise.de und bekommt als Antwort die IP 193.99.144.80. Darüber hinaus sind die DNS-Anfragen ein gefundenes Fressen für Angreifer, denn wer sie manipulieren kann, der kann Sie auch in die Falle auf seinen präparierten Server lotsen.

Die gute Nachricht ist, dass dieses Problem längst gelöst ist und es mehrere Verfahren gibt, um DNS-Verkehr vor Schnüfflern und Angreifern zu schützen: Die Signiertechnik DNSSEC verhindert Manipulationen an DNS-Antworten und stellt sicher, dass die Antwort von einer vertrauenswürdigen Quelle stammt. Zusätzlich können aktuelle Betriebssysteme, die meisten Browser und manche Router den DNS-Verkehr bis zum Resolver auf eine oder mehrere Arten verschlüsseln. Zu den gängigen Verfahren gehören DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT). Darüber hinaus gibt es das schnelle, aber seltene DNS-over-QUIC (DoQ), das anonymisierende Oblivious-DNS und noch proprietäre DNS-Verschlüsselungen wie DNSCrypt. Die DNS-Verschlüsselung lässt sich oft mit wenigen Klicks einschalten, etwa in den Windows-Einstellungen. Netzwerk-Know-how ist dafür nicht nötig.

Mehr zu Domain Name System (DNS)

• DNS-Leck: Browser ignorieren Windows-Konfiguration
• Lücken in der DNS-Verschlüsselung finden und schließen
• Admin-Know-how: Das Domain Name System erklärt
• Infrastructure as Code: DNS-Einträge mit Terraform setzen
• Rethink: Firewall und DNS-Filter verbessert die Android-Privatsphäre

Es gibt aber auch eine weniger gute Nachricht: Dass die DNS-Verschlüsselung im Betriebssystem eingeschaltet ist, bedeutet nicht, dass alle DNS-Anfragen verschlüsselt sind. Das zeigt der beschriebene Fall, den wir bei einer Analyse des Netzwerkverkehrs eines Testrechners entdeckten. Wenn man nämlich in den Netzwerkeinstellungen des Windows-11-Systems DoH aktiviert, verschicken diverse Chromium-Browser wie Google Chrome und Microsoft Edge sowie Electron-Apps ihre DNS-Anfragen trotzdem im Klartext. So können Schnüffler in Internet-Drehkreuzen wie dem DE-CIX und Angreifer im lokalen Netz die aufgerufenen Websites leicht mitschneiden.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Kurztests: Software für Aufgabenplanung, Zeiterfassung und Screenrecording

Eine smarte To-Do-Liste für die Aufgabenplanung, ein einfaches Zeiterfassungs-Tool und eine Screenrecorder-Software helfen bei Organisation und Arbeit.

---

Kostenlos hochwertige KI-Musik erzeugen: Das leisten Suno und Udio

So erstellen Sie mit Suno oder Udio verblüffend gute KI-Musik, von persönlichen Grüßen bis zu ganzen Partysongs.

---

Günstigerer Strom für die Wärmepumpe: Was Sie jetzt wissen müssen

Wärmepumpenstrom soll künftig automatisch günstiger sein. An welche Bedingungen das geknüpft ist und was für Bestandsgeräte schon jetzt gilt.

---

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

• ETF: So sicher ist der MSCI World

---

Schöner sehen: Fünf 4K-Monitore mit USB-C für den Mac im Test

Ein großer Screen macht das Arbeiten am Mac viel angenehmer. Modelle mit USB-C-Buchse liefern zudem Ports mit. Wir haben fünf 4K-Monitore mit 27 Zoll getestet.

---

MSI Claw: Gaming-Handheld mit neuartiger Intel-Grafik im Test

Die MSI Claw verspricht mehr Wertigkeit und Laufzeit als andere Windows-Handhelds. Ob sich die Intel-Grafik als Fluch oder Segen erweist, klären wir im Test.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Kurztests: Software für Aufgabenplanung, Zeiterfassung und Screenrecording

Eine smarte To-Do-Liste für die Aufgabenplanung, ein einfaches Zeiterfassungs-Tool und eine Screenrecorder-Software helfen bei Organisation und Arbeit.

---

Kostenlos hochwertige KI-Musik erzeugen: Das leisten Suno und Udio

So erstellen Sie mit Suno oder Udio verblüffend gute KI-Musik, von persönlichen Grüßen bis zu ganzen Partysongs.

---

Günstigerer Strom für die Wärmepumpe: Was Sie jetzt wissen müssen

Wärmepumpenstrom soll künftig automatisch günstiger sein. An welche Bedingungen das geknüpft ist und was für Bestandsgeräte schon jetzt gilt.

---

Prepaid, Debit, Credit: Wie Sie die passende Kreditkarte finden

Nach dem Maestro-Aus nimmt die Bedeutung von Kreditkarten zu. Die Wahl der passenden Karte sollte aber nicht nur von den Grundgebühren abhängen.

• ETF: So sicher ist der MSCI World

---

Schöner sehen: Fünf 4K-Monitore mit USB-C für den Mac im Test

Ein großer Screen macht das Arbeiten am Mac viel angenehmer. Modelle mit USB-C-Buchse liefern zudem Ports mit. Wir haben fünf 4K-Monitore mit 27 Zoll getestet.

---

MSI Claw: Gaming-Handheld mit neuartiger Intel-Grafik im Test

Die MSI Claw verspricht mehr Wertigkeit und Laufzeit als andere Windows-Handhelds. Ob sich die Intel-Grafik als Fluch oder Segen erweist, klären wir im Test.