CyberGlossary

Netzwerksicherheit

DNS over HTTPS (DoH)

Auch bekannt als: DoH

Definition

Ein Protokoll, das DNS-Anfragen und -Antworten über eine verschlüsselte HTTPS-Verbindung überträgt und sie so vor Mitlesen und Manipulation im lokalen Netz schützt.

DoH (RFC 8484) verpackt Standard-DNS-Anfragen in HTTPS-Anfragen an einen DoH-fähigen Resolver, üblicherweise auf Port 443. Da der Verkehr wie gewöhnlicher Web-Traffic aussieht, lässt er sich nur schwer selektiv blockieren und ist Ende-zu-Ende zwischen Client und Resolver verschlüsselt. So können On-Path-Angreifer, Captive Portals oder Provider DNS-Anfragen weder beobachten noch umschreiben. DoH authentifiziert die Daten selbst nicht (das ist Aufgabe von DNSSEC), bewahrt aber die Vertraulichkeit der Anfragen. Manche Unternehmen lehnen DoH ab, weil es lokale DNS-Filter umgeht; Gegenmaßnahmen sind das Erzwingen eines verwalteten Resolvers, das Blockieren bekannter öffentlicher DoH-Endpunkte oder Secure-DNS-Richtlinien per DDR.

Beispiele

  • Ein Browser nutzt Cloudflare 1.1.1.1 per DoH und verschlüsselt damit alle DNS-Anfragen unabhängig vom System-Resolver.
  • Ein Mobilfunkanbieter kann keine DNS-Werbe-Weiterleitungen einschleusen, da das Gerät Namen über DoH auflöst.

Verwandte Begriffe