DNS über TLS ( DoT ) ist ein Sicherheitsprotokoll für die Verschlüsselung und die Verkapselung von Domain Name System (DNS ) Abfragen und Antworten über den Transport Layer Security (TLS ) Protokoll . Der Zweck der Methode besteht darin, die Privatsphäre und Sicherheit der Benutzer zu erhöhen, indem das Abhören und die Manipulation von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird .
Im Jahr 2020 boten Cloudflare , Quad9 , Google , Quadrant Information Security, CleanBrowsing , LibreOps, DNSlify Telsy (it) , AdGuard und Digitalcourage einen öffentlichen DNS-Resolver mit DNS-over-TLS-Technologie an.
Im April 2018 kündigte Google an, dass Android Pie diese Technologie unterstützen wird, sodass Benutzer sich sowohl über WLAN als auch über eine Mobilfunkverbindung mit einem DNS-Server verbinden können, eine Option, die bisher nur für Benutzer möglich war, die ihr Telefon gerootet haben. DNSDist von PowerDNS kündigte ebenfalls Unterstützung für die Technologie in Version 1.3.0 an. BIND- Benutzer können DoT auch mit einem Proxy mit stunnel verwenden . Unbound unterstützt DoT seit dem 22. Januar 2018. Unwind unterstützt DoT seit dem 29. Januar 2019. Mit der Technologieunterstützung ab Android Pie unterstützen auch Werbeblocker die Verwendung dieses verschlüsselten Protokolls.
Viele öffentliche rekursive Server unterstützen DoT, aber Client-Systeme müssen sich oft registrieren.
Android-Clients mit Android 9 (Pie) oder höher unterstützen DNS über TLS.
Benutzer von Linux und Windows können DNS als TLS-Client über den Dämon Stubby NLnet Labs Labs oder Knot Resolver verwenden. Sie können auch getdns-utils installieren, um DoT direkt mit dem Tool getdns_query zu verwenden. NLnet Labs Unbound DNS Resolver unterstützt auch DNS über TLS.
Apples iOS 14 hat die Unterstützung für DoT (und DNS über HTTPS) auf Betriebssystemebene eingeführt. iOS erlaubt keine manuelle Konfiguration von DoT-Servern und erfordert die Verwendung einer Drittanbieteranwendung, um Konfigurationsänderungen vorzunehmen.
Systemd-resolved ist eine reine Linux-Implementierung, die für die Verwendung von DNS über TLS konfiguriert werden kann, indem /etc/systemd/resolved.confdie Einstellung bearbeitet und aktiviert wird DNSOverTLS. Bei den meisten großen Linux-Distributionen ist systemd standardmäßig installiert.
PersonalDNSfilter ist ein Open-Source-DNS-Filter, der DoT und DoH ( DNS over HTTPS ) für Java-fähige Geräte, einschließlich Android, unterstützt.
Nebulo ist eine Open-Source-Anwendung zum Ändern der DNS-Konfiguration für Android und unterstützt DoT und DoH.
DoT kann die Analyse und Überwachung des DNS-Datenverkehrs zu Cybersicherheitszwecken behindern. DoT wurde Bypass verwendet Kindersicherung , die bei der Standard - DNS - Ebene arbeiten (unverschlüsselte); Circle, ein Router für die Kindersicherung, der auf DNS-Abfragen angewiesen ist, um Domänen mit einer Blockliste zu vergleichen, blockiert DoT standardmäßig aus diesem Grund. Es gibt jedoch DNS-Anbieter, die Filterung und Kindersicherung sowie Unterstützung für DoT und DoH anbieten. In diesem Szenario werden DNS-Abfragen anhand der Sperrlisten überprüft, nachdem sie vom Anbieter empfangen wurden, und nicht bevor sie den Router des Benutzers verlassen.
Die Verschlüsselung an sich schützt die Privatsphäre nicht, Verschlüsselung ist einfach eine Methode zum Verbergen von Daten.
DoT-Clients fragen keinen autoritativen Nameserver direkt ab. Stattdessen verlässt sich der Client auf den DoT-Server, der traditionelle Abfragen (Port 53 oder 853) verwendet, um schließlich die autoritativen Server zu erreichen. Somit gilt DoT nicht als Ende-zu-Ende-verschlüsseltes Protokoll , sondern nur als Hop-to-Hop-verschlüsselt und nur bei konsequenter Verwendung von DNS über TLS.