Telekom hilft Labor: Testet mit uns „DNS over HTTPS“!

Waldemar H. · ‎03.02.2021

Zum Einstieg ein kleiner Exkurs: Wat is'n Dampfmaschin'? Uups, falscher Film. 😉 Noch mal von vorne: Wat is DNS? DNS steht für „Domain Name System“. Es wird von vielen auch als „Telefonbuch des Internets“ bezeichnet. Denn ohne DNS müsstet ihr euch die IP-Adresse jeder Seite merken, um darauf zuzugreifen. Wenn ihr beispielsweise www.telekom.de in den Browser eingibt, wird dieser Name in eine computerfreundliche Server-IP-Adresse – wie 80.158.67.40 – übersetzt bzw. aufgelöst. Mit „normalem“ DNS ist die Kommunikation zwischen dem Client (also eurem Browser/Rechner) und dem DNS-Server (in dem das Telefonbuch gespeichert ist) nicht verschlüsselt.

Mit „DNS over HTTPS (DoH)“ steht euch ein neues Protokoll zur Verfügung, mit dem der DNS-Verkehr zwischen Client und Server verschlüsselt wird. Es kann verhindern, dass der DNS-Verkehr von Dritten mitgelesen und manipuliert wird.

Um diesen Service zukünftig allen Kunden anzubieten, testen wir das Protokoll gerade in der Praxis. Wer möchte kann DoH jetzt schon im Firefox* konfigurieren und ausprobieren. Wir freuen uns in der Test-Phase über jeden Kunden, der gemeinsam mit uns testet.

Unsere Experten @WinfriedA und @Nicolai L. begleiten diesen Test. Sie freuen sich auf eure Fragen und euer Feedback. Also startet den Feuerfuchs, konfiguriert DoH und testet drauf los! 😊

* Chrome unterstützt nur eine bestimmte Auswahl von Servern über das "Auto-Upgrade" - es kann kein Server händisch eingetragen werden (so wie bei Firefox). In einer früheren Version konnte man den Server in der Kommando-Zeile spezifizieren, aber das Feature wurde wohl entfernt. Ähnlich verhält sich bei anderen Browsern: Entweder wird DoH noch nicht unterstützt oder es ist nicht möglich einen Server händisch einzutragen. Sobald eine manuelle Konfiguration mit anderen Browsern möglich ist, werden wir euch eine entsprechende Anleitung in diesem Thread zur Verfügung stellen.

Bernd M. · ‎31.05.2021

Liebe Teilnehmer*innen,

vielen Dank für euer konstruktives Feedback und die interessanten Unterhaltungen. Wir konnten daraus einiges für uns mitnehmen. Dieser Test ist nun abgeschlossen.

Wie schon häufiger in den letzten Wochen angesprochen, möchten wir ca. Mitte Juli „DNS over TLS“ vertesten. Es wird hierzu ebenfalls einen offenen Test im Telekom hilft Labor geben. Wir freuen uns auch dort über reges Interesse und eure Rückmeldungen.

Bis dahin!

Euer Experten-Team und die Labor-Crew

Lösung in ursprünglichem Beitrag anzeigen

Waldemar H. · ‎03.02.2021

Konfiguration von DoH im Mozilla Firefox Browser

SCHRITT 1

"Einstellungen" aufrufen:

SCHRITT 2

In den Einstellungen bis ganz unten scrollen und danach unter "Verbindungs-Einstellungen" auf "Einstellungen" klicken:

SCHRITT 3

Scrollt im nächsten Dialog bis ans Ende und setzt bei "DNS über HTTPS aktivieren" ein Häkchen. Als Anbieter wählt ihr "Benutzerdefiniert" aus und trägt im Textfeld in der nächsten Zeile den Server „https://dns.telekom.de/dns-query“ ein. Jetzt speichert ihr mit "OK" die Änderungen ab. Damit ist die Konfiguration von DoH abgeschlossen.

Hinweis: Leider verfügt der Mozilla Firefox über keine Statusanzeige, über die geprüft werden kann, ob DoH verwendet wird (beispielsweise analog zur Anzeige, ob eine Internetseite verschlüsselt ist). Es gibt jedoch die Möglichkeit zu prüfen, ob bestimmte Domains über DoH aufgelöst werden. Dazu müsst ihr die interne DNS-Statusseite von Firefox aufrufen, indem ihr in die Adressleiste folgende URL eintippt: about:networking#dns

Wer möchte kann oben rechts das Häkchen bei "Automatisch alle 3 Sekunden aktualisieren" setzen.

Wenn in der Spalte TRR (Trusted Recursive Resolver) für eine Internetseite (Hostname) "true" aufgeführt ist, wurde diese über DoH aufgelöst. Ist dort "false" aufgeführt, dann erfolgte die Auflösung über das normale DNS.

Lösung in ursprünglichem Beitrag anzeigen

Waldemar H. · ‎03.02.2021

Konfiguration von DoH im Mozilla Firefox Browser

SCHRITT 1

"Einstellungen" aufrufen:

SCHRITT 2

In den Einstellungen bis ganz unten scrollen und danach unter "Verbindungs-Einstellungen" auf "Einstellungen" klicken:

SCHRITT 3

Scrollt im nächsten Dialog bis ans Ende und setzt bei "DNS über HTTPS aktivieren" ein Häkchen. Als Anbieter wählt ihr "Benutzerdefiniert" aus und trägt im Textfeld in der nächsten Zeile den Server „https://dns.telekom.de/dns-query“ ein. Jetzt speichert ihr mit "OK" die Änderungen ab. Damit ist die Konfiguration von DoH abgeschlossen.

Hinweis: Leider verfügt der Mozilla Firefox über keine Statusanzeige, über die geprüft werden kann, ob DoH verwendet wird (beispielsweise analog zur Anzeige, ob eine Internetseite verschlüsselt ist). Es gibt jedoch die Möglichkeit zu prüfen, ob bestimmte Domains über DoH aufgelöst werden. Dazu müsst ihr die interne DNS-Statusseite von Firefox aufrufen, indem ihr in die Adressleiste folgende URL eintippt: about:networking#dns

Wer möchte kann oben rechts das Häkchen bei "Automatisch alle 3 Sekunden aktualisieren" setzen.

Wenn in der Spalte TRR (Trusted Recursive Resolver) für eine Internetseite (Hostname) "true" aufgeführt ist, wurde diese über DoH aufgelöst. Ist dort "false" aufgeführt, dann erfolgte die Auflösung über das normale DNS.

rainer1809 · ‎03.02.2021

Ich hab mein Feuerfuchs mal nach Anleitung umgestellt und "about:networking#dns" als Lesezeichen abgelegt.
Mal schaun was da so kommt, oder nichtkommt 😉

Toter_Engel · ‎03.02.2021

Können Sie auch auf technischer Sichtweise etwas mehr darauf eingehen, welche Vorteile DoH gegenüber dem eh schon verbreiteten DoT in Sachen Sicherheit/Performance bringen soll?

Da es ja grundlegend auf den gleichen Verschlüsselungs-Protokollen aufbauen sollte.

Sherlocka · ‎03.02.2021

Ist das Absicht oder ungewollt, dass grundsätzlich als erste Position das "false" zu dns.telekom.de zu kommen scheint?
(Der Rest kommt bisher in der kurzen Zeit statt dessen mit einem "true", wie es wahrscheinlich sein soll.)

viper.de · ‎03.02.2021

@Toter_Engel schrieb:
Können Sie auch auf technischer Sichtweise etwas mehr darauf eingehen, welche Vorteile DoH gegenüber dem eh schon verbreiteten DoT in Sachen Sicherheit/Performance bringen soll?

Da es ja grundlegend auf den gleichen Verschlüsselungs-Protokollen aufbauen sollte.

Grundlegend schon, während DoT jedoch einen eigenen Port nutzt wie das normale DNS auch wird bei DoH https auf Port 443 verwendet, somit ist normaler https traffic und DNS nicht mehr voneinander zu unterscheiden.

Der andere Unterschied ist, wer dahinter steckt...

DoT wird von einer unabhängigen Institution dem IETF promoted, DoH von Google, Mozilla, Cloudfare und jetzt scheinbar auch der Telekom.

Mag jeder selbst entscheiden wem er mehr vertraut.

Der Haken momentan ist aus meiner Sicht, das Ganze spielt sich momentan im Browser ab und ist so keine universelle Lösung für das Heimnetz. Mag die eine oder andere Implementation bereits auf Routern geben, ich glaube AVM hat bereits DoT implementiert.

Waldemar H. · ‎03.02.2021

@Sherlocka schrieb:

Ist das Absicht oder ungewollt, dass grundsätzlich als erste Position das "false" zu dns.telekom.de zu kommen scheint?
(Der Rest kommt bisher in der kurzen Zeit statt dessen mit einem "true", wie es wahrscheinlich sein soll.)

@Sherlocka Ja. Die erste Auflösung von "dns.telekom.de" erfolgt immer über die unverschlüsselten Server, da dies der Bootstrap-Vorgang für den Aufbau einer verschlüsselten Verbindung ist (Bootstrapping bezeichnet in der Informatik einen Prozess, der auf einem einfachen System ein komplexeres System aktiviert, siehe Wikipedia).

viper.de · ‎03.02.2021

Oder einfach ausgedrückt, dns.telekom.de wird über DNS aufgelöst.

viper.de · ‎03.02.2021

Ich mal mal die Ingrid,

funktioniert bislang einwandfrei

Meine Befürchtungen die lokale Auflösung würde dadurch beeinträchtigt haben sich in Luft aufgelöst. Aber das ist ja eher ein Firefox Ding.

Kugic · ‎03.02.2021

Es müsste ja auch in einer fritzbox funktionieren.
Dort kann ich einmal die DNS IP eintragen und darunter die URL und ebenso, ob ein Fallback zugelassen werden soll.

Joulinar · ‎03.02.2021

AVM supportet aber DoT und nicht DoH

Nicolai L. · ‎04.02.2021

Hallo Sherlocka,

Um eine verschlüsselte Verbindung zu "dns.telekom.de" aufbauen zu können, muss der Name im ersten Schritt aufgelöst werden. Erst danach kann die DoH Session aufgebaut und für alle weiteren Requests verwendet werden.

viele Grüße

Nic

Kugic · ‎04.02.2021

@Joulinar schrieb:
AVM supportet aber DoT und nicht DoH

Danke. Da war mein Denkfehler.

WinfriedA · ‎04.02.2021

Hallo zusammen, ich möchte mich nur kurz vorstellen. Ich bin einer der Systemadministratoren der Telekom DNS-Resolver Infrastruktur. Ich hoffe, dass ich hier dazu beitragen kann, offene Fragen zu den Themen DoH/DoT zu beantworten.

Winfried

KabelDigifreak · ‎04.02.2021

Wenn man den Microsoft Edge nutzt, kann man nicht mitmachen und schon vom Feature profitieren?

Ich habe die Einstellung:

Verwenden Sie sicheres DNS, um anzugeben, wie die Netzwerkadresse für Websites nachzuschlagen ist.

Diese Einstellung steht momentan auf: Aktuellen Dienstanbieter verwenden

Danke vorab!

rainer1809 · ‎04.02.2021

Vorab

Ich bin mir sehr wohl bewusst das ein Speedtest nicht "das gelbe vom Ei ist" und keine große Aussagekraft über die tatsächliche Geschwindigkeit haben kann.

@WinfriedAund @Nicolai L.

Eine Frage

Kann es sein das mit aktivierten „DNS over HTTPS (DoH)“ der Ping und die Downloadgeschwindigkeit schlechter werden?

Wenn ich über den Firefox (mit „DNS over HTTPS") und im Anschluß mit Vivaldi einen Speedtest mache kommen da schon sehr unterschiedliche Ergebnisse

Firefox

Vivaldi

WinfriedA · ‎04.02.2021

@rainer1809 schrieb:
...
@WinfriedAund @Nicolai L.
Eine Frage
Kann es sein das mit aktivierten „DNS over HTTPS (DoH)“ der Ping und die Downloadgeschwindigkeit schlechter werden?
...

Nein. Während eines normalen Speedtests finden keine DNS Queries statt.

WinfriedA · ‎04.02.2021

@KabelDigifreak schrieb:
Wenn man den Microsoft Edge nutzt, kann man nicht mitmachen und schon vom Feature profitieren?

Doch, klar. Wenn die verwendete Edge Version die Möglichkeit anbietet, einen benutzerdefinierten DoH Server einzutragen, kann man das selbstverständlich tun und es muss auch funktionieren. Ich weiß allerdings nicht, ob die aktuelle Edge Version dieses Feature bereits hat. Soweit ich weiß, ist das im Moment erst bei der "Canary-Version" von Microsoft Edge der Fall.

viper.de · ‎04.02.2021

Hallo @WinfriedA

ist auch eine Inplementierung von DoT angedacht?

muc80337_2 · ‎04.02.2021

Also wie war das jetzt... wenn ich in meiner Fritzbox DoT aktiviert habe

und jetzt im Firefox DNS over https aktiviere...

Was läuft dann ab? Beides?

viper.de · ‎04.02.2021

@muc80337_2

der Browser macht die Auflösung. Der fragt erst gar nicht mehr den DNS Forwarder der Fritzbox.

UlrichZ · ‎04.02.2021

@Waldemar H.: Ich habe meinen Firefox jetzt auch entsprechend eingerichtet, mal sehen, ob mir irgendein "anderes Verhalten" auffält, wahrscheinlich nicht.

Gruß Ulrich

viper.de · ‎04.02.2021

Ich gehe mal davon aus, dass der FF sowieso ein Fallback auf DNS macht, wenn die Auflösung nicht klappt.

Nicolai L. · ‎04.02.2021

Hallo viper.de

"Ich gehe mal davon aus, dass der FF sowieso ein Fallback auf DNS macht, wenn die Auflösung nicht klappt."

"It depends"

Wenn Firefox eine Domain nicht auflösen kann, dann erfolgt in der Regel ein Fallback auf DNS53 (d.h. er fragt dann "zur Sicherheit" noch mal über DNS53 - das erklärt unter anderem, warum lokale Namen aufgelöst werden können). Allerdings kannst Du das Verhalten zusätzlich auch noch konfigurieren. Für DoH gibt es unterschiedliche Policies. Wenn "opportunistic" eingestellt ist, dann wird bei Nicht-Verfügbarkeit von DoH ein Fallback auf DNS53 durchgeführt. Ist "strict" eingestellt, dann wird ausschließlich DoH verwendet (d.h. die Auflösung funktioniert nicht mehr, wenn der DoH Server nicht erreichbar ist). Dazu muss unter "about:config" die Policy auf strict gesetzt werden (indem "network.trr.mode" auf den Wert "3" gesetzt wird).

Weitere Details gibt es hier:

https://wiki.mozilla.org/Trusted_Recursive_Resolver

viele Grüße

Nic

WinfriedA · ‎04.02.2021

@muc80337_2 schrieb:
Also wie war das jetzt... wenn ich in meiner Fritzbox DoT aktiviert habe
und jetzt im Firefox DNS over https aktiviere...

Was läuft dann ab? Beides?

Nein. Der Firefox nutzt dann ausschließlich DoH. Alle anderen Anwendungen und Geräte, die an der FB angeschlossen sind nutzen DoT der FB.

Telekom hilft Labor: Testet mit uns „DNS over HTTPS“!

Konfiguration von DoH im Mozilla Firefox Browser

Konfiguration von DoH im Mozilla Firefox Browser

Social Media