NEWS

Cloudflare unterstützt ab sofort den Vorschlag für einen neuen DNS-Standard, den es zusammen mit Apple und Fastly entwickelt hat. Er soll DNS-Anfragen von den jeweiligen IP-Adressen trennen. Das Oblivious DNS-over-HTTPS (ODoH) genannte Protokoll soll die Privatsphäre von Nutzern verbessern und verhindern, dass Dritte DNS-Anfragen einer IP-Adresse und damit einem Nutzer zuordnen können.

Cloudflare (Bild: Cloudflare)Das Domain Name System (DNS) hat die Aufgabe, die für Menschen „nicht lesbaren“ IP-Adressen von Websites in lesbare Namen zu übersetzen. Beim Aufruf einer Domain wie ZDNet.de muss der Name wieder zu einer IP-Adresse aufgelöst werden. Diese Aufgabe übernehmen DNS-Server, die wiederum ihre Anfragen vom Browser erhalten.

Obwohl inzwischen die Verschlüsselung von Datenverkehr im Internet zum Standard geworden ist, werden DNS-Anfragen in der Regel immer noch unverschlüsselt und somit für jeden lesbar übertragen. Abhilfe sollen hier die Protokolle DNS-over-HTTPS und DNS-over-TLS (DoT) schaffen. Sie sorgen vor allem dafür, dass Abfragen nicht abgefangen, umgeleitet und verändert werden können, wie Cloudflare erläutert.

Da beide Protokolle erst von wenigen Anbietern unterstützt würden, darunter eben auch Cloudflare, komme es zu einer Zentralisierung des Domain Name System. Außerdem sei der Anbieter der Namensauflösung weiterhin in der Lage, trotz Verschlüsselung alle Anfragen den jeweiligen IP-Adressen der Clients zuzuordnen.

Hier soll nun Oblivious DNS-over-HTTPS für Abhilfe sorgen. Das Protokoll, das von der IETF betreut wird, fügt eine zusätzliche Public-Key-Verschlüsselung sowie einen Netzwerk-Proxy zwischen den Clients und den DoH-Servern ein. „Die Kombination dieser beiden Elemente garantiert, dass nur der Nutzer gleichzeitig Zugang zu den DNS-Nachrichten und der eigenen IP-Adresse hat“, teilte Cloudflare mit.

Der Proxy-Server nutzt demnach eine eigene IP-Adresse, um die verschlüsselte DNS-Anfrage an den eigentlichen DNS-Server weiterzugeben. Der Proxy kennt somit lediglich die IP-Adresse des Clients, nicht aber den Inhalt der DNS-Anfrage. Der DNS-Server wiederum ist in der Lage, die DNS-Anfrage zu entschlüsseln – was der Proxy Server nicht kann. Er kennt jedoch nur die IP-Adresse des Proxy-Servers und nicht des Clients, weswegen auch sein Betreiber nicht gleichzeitig Zugriff auf IP-Adresse und Inhalt der DNS-Anfrage hat.

Allerdings muss laut Cloudflare sichergestellt werden, dass der Proxy-Server und der eigentliche DNS-Server niemals „konspirieren“. Beide dürfen also nicht von nur einer Organisation kontrolliert werden. Als Proxy-Partner konnte Cloudflare zum Start PCCW Global, Surf und Equinix gewinnen.

Cloudflare zufolge kann ODoH bereits zusammen mit dem DNS-Dienst 1.1.1.1 des Unternehmens getestet werden. Auch gebe es bereits Interesse von Client-Anbietern wie Mozilla. Allerdings wurde das Protokoll bisher noch nicht von der IETF als Standard verabschiedet.