Der erste Windows-Client für verschlüsselte DNS-Anfragen ist fertig (DNS-over-TLS). Damit können nun auch Windows-Nutzer einen wesentlichen Teil ihrer bisher leicht abzugreifenden Meta-Daten mit einer einfachen Erweiterung vor neugierigen Augen verbergen.

DNS über TLS verschlüsselt die Strecke zwischen Client-PC und rekursivem DNS-Resolver. Die Spezifikation hat die Internet Engineering Task Force im RFC 7858 2016 entwickelt – in der ersten Empörung über die Enthüllungen von Edward Snowden. Demnach werten Sicherheitsbehörden gerne DNS-Anfragen aus, um Einblicke in das Surf-Verhalten von Nutzern zu gewinnen.

Das fällt leicht, wenn der Client-PC seine DNS-Anfragen auf gängige Art zum DNS-Resolver seines Providers schickt – ursprünglich sah der gesamte DNS-Dienst nämlich keinerlei Verschlüsselung oder Manipulationsschutz vor. Gegen Manipulation der DNS-Daten hilft immerhin DNSSEC. In der DNS-Hierarchie höher gelegene Elemente arbeiten freilich weiterhin unverschlüsselt. Aber deren Verkehr lässt sich nicht mehr so einfach einzelnen Nutzern zuordnen, sodass deren Absicherung später erfolgt.

Bisher gab es Stubby nur für macOS und Linux. Sara Dickinson von der Entwicklerschmiede Sinodun hat nun eine erste Beta-Fassung für Windows 8 und 10 veröffentlicht. Stubby ist gratis über den Server der Arbeitsgruppe dnsprivacy.org erhältlich. Im besten Fall übernimmt die Software nach der Installation automatisch alle DNS-Anfragen. In Einzelfällen muss der lokale Resolver allerdings noch händisch konfiguriert werden.

Eine Hand voll Privacy-Server

In der Grundkonfiguration arbeitet Stubby im "strict privacy mode", nutzt also ausschließlich TLS-Verbindungen und verteilt seine Anfragen an verschiedene rekursive Resolver. Die Entwickler sprechen von DNS-Privacy-Servern. Davon gibt es derzeit nur eine Hand voll auf der Welt. Große Resolver-Betreiber, darunter Googles offene DNS-Server, fehlen bislang noch. Der DNS-über-TLS-Verkehr läuft über den eigens dafür von der IETF definierten Port 853.

In den nächsten Schritten soll Stubby eine grafische Oberfläche bekommen. Zuerst dürfte eine Version für macOS erscheinen. Außerdem wollen Dickinson und ihre Kollegen Stubby zu einem Service auf Windows 10 weiterentwickeln. Eine Variante für Android soll ebenfalls folgen.

DNS-Privacy für Arbeitsgruppen

DNS-over-TLS lässt sich aber nicht nur mittels einfachen Clients nutzen. Wer die Anfragen kompletter Netze auf diese Weise absichern will, kann den beliebten DNS-Resolver Unbound auf einem Mini-Rechner wie dem Raspi einrichten. Eine komplette Anleitung dazu finden Sie im kostenpflichtigen c't-Artikel "Privatsphäre per Tunnel – Domain Name Service: Datenschutz selbstgebaut". (dz)