Sichere Namensauflösung: Microsoft arbeitet an DNS over HTTPS für Windows 10

Sichere Namensauflösung: Microsoft arbeitet an DNS over HTTPS für Windows 10

Die Namensauflösung ist einer der letzten Vorgänge, bei denen Domain-Namen von Windows unverschlüsselt übertragen werden. Mit dieser kurzen und knappen Feststellung liefern drei Entwickler von Microsofts Core Networking Team die Begründung für die Einführung von DNS over HTTPS (DoH). Und damit ist tatsächlich schon alles gesagt.

Der Datentransfer im Web sollte so privat wie möglich sein, daher sollten Betriebssysteme DoH nativ unterstützen, meinen die Microsoft-Leute. Wann es soweit ist, steht aktuell allerdings noch in den Sternen, in der Ankündigung wird kein Zeitplan genannt. Trotzdem will man die interessierte Öffentlichkeit schon jetzt über die Pläne informieren. Sollte ihnen niemand zuvor kommen, wird Microsoft der erste große Anbieter sein, der DoH über sein Betriebssystem unterstützt. Bisher tun das Google in Chrome und Mozilla in Firefox über eigene Implementierungen, was unter Sicherheits-Gesichtspunkten teils kritisch gesehen wird. Aber es gibt ja keine Alternative.

Geplant ist eine weiche Einführung von DoH. Dort, wo bereits in Verwendung befindliche DNS-Server DoH unterstützen, wird Windows 10 automatisch auf die verschlüsselte Abfrage umstellen – die Nutzer müssen also von sich aus nichts tun. Auch App-Entwickler müssen nicht aktiv werden. In mehreren Schritten wird die Implementierung fortgeführt – am Ende steht das Ziel, dass Windows nur noch verschlüsselte DNS-Abfragen sendet. Administratoren können über entsprechende Richtlinien dann sogar den Rückfall auf unverschlüsselte Anfragen verbieten.

Wer mit eigenen DNS-Einstellungen arbeitet, zum Beispiel um den Werbung oder bestimmte Webseiten zu blocken, muss sich keine Sorgen machen. Es wird im Rahmen der Einführung von DNS over HTTPS nicht zu automatischen oder vom Nutzer nicht gewünschten Änderungen an der DNS-Konfiguration kommen, beteuern die Entwickler.

Über den Autor
Martin Geuß
  • Martin Geuß auf Facebook
  • Martin Geuß auf Twitter
Ich bin Martin Geuß, und wie unschwer zu erkennen ist, fühle ich mich in der Windows-Welt zu Hause. Seit mehr als zwölf Jahren lasse ich die Welt an dem teilhaben, was mir zu Windows und anderen Microsoft-Produkten durch den Kopf geht, und manchmal ist das sogar interessant. Das wichtigste Motto meiner Arbeit lautet: Von mir - für Euch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare
  1. Also sinnvoller als das in die Anwendungen zu packen, ist es allemal. Ob es nun DoH sein muss oder nicht besser DoT, darüber kann man aber sicherlich streiten. Allgemein ist es keine gute Idee, kleine DNS Pakete riesig mit JSON aufzublähen, per HTTPS zu verschicken und dann zu erwarten, dass man damit etwas tatsächlich verbessert. Man baut nur ziemlich viel Bloat ein. So richtig durchdacht ist das alles nicht.
    Wichtig im selben Zusammenhang wäre dann aber auch, das im eigenen DNS Server ebenfalls zu implementieren. Und das wird dann lustig, wenn jeder DC in Zukunft auch noch HTTPS bereitstellen muss.
    ÜberDaniel
    Warum nicht einfach direkt nen dns server in den browser integrieren?

    Das wäre Unsinn, weil dann jeder sein eigenes Süppchen kocht. Das ist ja auch jetzt schon das Problem, weil zum Beispiel Google und Mozilla bei ihren Browsern nach derzeitigem Stand einen entsprechenden DNS-Server hart eincodieren und die globalen Systemeinstellungen damit ignorieren. Außerdem darf man auch nicht die Anwendungen vergessen, die zwar nicht als Browser auftreten, aber in ihrem Kern ein Browser sind bzw. auf Browsertechnologien zurückgreifen. Steam ist so ein prominentes Beispiel. Wenn man das nativ in Windows integriert, ist das allemal besser.
    Das wäre Unsinn, weil dann jeder sein eigenes Süppchen kocht. Das ist ja auch jetzt schon das Problem, weil zum Beispiel Google und Mozilla bei ihren Browsern nach derzeitigem Stand einen entsprechenden DNS-Server hart eincodieren und die globalen Systemeinstellungen damit ignorieren. Außerdem darf man auch nicht die Anwendungen vergessen, die zwar nicht als Browser auftreten, aber in ihrem Kern ein Browser sind bzw. auf Browsertechnologien zurückgreifen. Steam ist so ein prominentes Beispiel. Wenn man das nativ in Windows integriert, ist das allemal besser.

    Und rate mal, welche DNS Server Google Chrome verwendet. Ausschließlich die von Google.
    und Mozilla bei ihren Browsern nach derzeitigem Stand einen entsprechenden DNS-Server hart eincodieren

    Das stimmt so nicht ganz. Cloudflare ist eine Vorgabe, wenn nichts anderes gesetzt wird: network.trr.resolvers , network.trr.uri
    Das wird sicher interessant in Zukunft, weil schon jetzt Webanbieter sich über den Ansatz beschweren und es in einer Lobbyschlacht enden wird.
    Am Ende werden wohl wieder entsprechende Firmen und Konzerne gewinnen, wie schon beim Urheberrecht.
    Ajedv
    Und rate mal, welche DNS Server Google Chrome verwendet. Ausschließlich die von Google.

    Ja. War zu erwarten, oder? Wo ist das Problem an der Stelle? Das fällt unter "eigenes Süppchen kochen", wobei man bei der Aufstellung von Google sagen könnte, dass deren Süppchen fast schon ein allgemeines wäre.
    Das wäre Unsinn, weil dann jeder sein eigenes Süppchen kocht. Das ist ja auch jetzt schon das Problem, weil zum Beispiel Google und Mozilla bei ihren Browsern nach derzeitigem Stand einen entsprechenden DNS-Server hart eincodieren und die globalen Systemeinstellungen damit ignorieren. Außerdem darf man auch nicht die Anwendungen vergessen, die zwar nicht als Browser auftreten, aber in ihrem Kern ein Browser sind bzw. auf Browsertechnologien zurückgreifen. Steam ist so ein prominentes Beispiel. Wenn man das nativ in Windows integriert, ist das allemal besser.

    Dann eben in windows 10 integrieren? Was gibt es für nen grund die dns abfrage mit massig overhead zu versehen wenn auch einfach keine mehr notwendig sein könnte? (zumindest über WAN)
    DNS Abfrage überflüssig? In welchem Universum? Beschäftige dich bitte mehr mit diesem Thema statt Blödsinn zu sabbeln.
Nach oben