Heute vor einem Jahr haben wir unsere verschlüsselten DNS-Resolver öffentlich angekündigt. Zeit also für einen Rück- und Ausblick.
DNS verschlüsselt
Moderne Webseiten und Internetdienste sind hauptsächlich verschlüsselt erreichbar. Möglich macht dies das Transportverschlüsselungsprotokoll TLS. Damit eine verschlüsselte Verbindung zu einer Webseite oder einem Internetdienst aufgebaut werden kann, muss aber zuerst die IP-Adresse per DNS ermittelt werden. Bis anhin wurde dieser Schritt als letzter noch unverschlüsselt über einen DNS-Resolver, beispielsweise des eigenen Internet Service Providers, gemacht.
Die neuen Protokolle DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH) erlauben es nun, auch den letzten unverschlüsselten Teil, die DNS-Auflösung, zu verschlüsseln.
DNS zu verschlüsseln ist wichtig
Eine verschlüsselte Namensauflösung schützt nicht nur die eigene Privatsphäre vor neugierigen Blicken sondern hat auch den Vorteil, dass invasive Manipulationen durch aktive Angreifer, beispielsweise in einem öffentlichen WLAN im Café, verhindert werden können.
Unser Service
Die Digitale Gesellschaft betreibt öffentliche und verschlüsselte DNS-Resolver. Unsere redundanten Server befinden sich in Zürich und sind ausschliesslich über die beiden verschlüsselten Protokolle DoT und DoH erreichbar. Wer unsere Systeme ausprobieren oder nutzen möchte, findet alle Informationen auf unserer DNS-Informationsseite. Unsere Systeme loggen weder DNS-Anfragen noch IP-Adressen und blockieren keine Inhalte.
Rückblick
Ende 2018 haben wir mit der Konzeption und einem ersten Testsetup unseres DNS-Services begonnen. Mit den ersten Erfahrungen haben wir zum Jahresbeginn 2019 das jetzige Setup in produktiver Umgebung bei Community Rack aufgebaut. Am Winterkongress im Februar 2019 gab es die erste öffentliche Nennung im Vortrag DNS mit DoT und DoH. Es folgte dann die Bekanntmachung hier im Blog am 11. April 2019.
Im August 2019 haben wir unseren ersten Transparenzbericht veröffentlicht. Darin informieren wir jährlich über behördliche Anordnungen bezüglich unserer DNS-Resolver.
Einer der Kritikpunkte von DoT und DoH ist die mögliche, weitere Zentralisierung von DNS-Resolvern durch kommerzielle Anbieter wie Cloudflare, Google oder IBM. Aus diesem Grund haben wir unsere Konfiguration schon seit jeher veröffentlicht und regen dazu an, eigene DoT- und/oder DoH-Resolver zu betreiben.
Ausblick
Für das kommende Jahr sind technisch vor allem Software-Aktualisierungen geplant. Diese erlauben uns zusätzliche Leistungsoptimierungen vorzunehmen, um die Reaktionszeiten unserer DNS-Resolver weiter zu verkürzen. Namentlich wollen wir in den Sommermonaten beispielsweise Authority Zones und DNS Out-of-Order processing ausrollen.
Auch die Informationen und Dokumentationen wollen wir etwas ansprechender organisieren.
Weitere empfehlenswerte DoT- und DoH-Betreiberinnen
Im Web gibt es Listen mit diversen Anbieterinnen von verschlüsselten DNS-Resolvern. Zwei Betreiberinnen solcher DNS-Dienstleistungen, mit denen wir auch technisch immer wieder im Austausch sind, möchten wir an dieser Stelle empfehlend nennen. Zum einen die Stiftung Switch in Zürich (Privacy Policy) und zum anderen die Non-Profit Organisation Foundation for Applied Privacy, welche in Österreich tätig ist und, wie die Digitale Gesellschaft, weder loggt noch filtert.
Fragen und Anregungen zu all unseren Services nehmen wir gerne per Mail auf dienste(ät)digitale-gesellschaft.ch entgegen.