Heute vor zwei Jahren haben wir unsere Secure DNS-Resolver öffentlich angekündigt. Seither hat sich unser Setup stetig weiterentwickelt, und unser Service wird gut genutzt. Zeit also für einen weiteren Rück- und Ausblick.
DNS verschlüsselt
Moderne Webseiten und Internetdienste sind hauptsächlich verschlüsselt erreichbar. Möglich macht dies das Transportverschlüsselungsprotokoll TLS. Damit eine verschlüsselte Verbindung zu einer Webseite oder einem Internetdienst aufgebaut werden kann, muss aber zuerst die IP-Adresse per DNS ermittelt werden. Lange Zeit wurde dieser Schritt als letzter noch unverschlüsselt über einen DNS-Resolver, beispielsweise des eigenen Internet Service Providers (ISP), gemacht.
Die Protokolle DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH) erlauben es, auch diesen unverschlüsselten Teil, die DNS-Auflösung, zu verschlüsseln.
DNS zu verschlüsseln ist wichtig
Eine verschlüsselte Namensauflösung schützt nicht nur die eigene Privatsphäre vor neugierigen Blicken, sondern hat auch den Vorteil, dass invasive Manipulationen durch aktive Angreifer, beispielsweise in einem öffentlichen WLAN im Café, verhindert werden können.
Unser Service
Die Digitale Gesellschaft betreibt öffentliche und verschlüsselte DNS-Resolver. Unsere redundanten Server befinden sich in Zürich und sind ausschliesslich über die beiden verschlüsselten Protokolle DoT und DoH erreichbar. Wer unsere Systeme ausprobieren oder nutzen möchte, findet alle Informationen auf unserer DNS-Informationsseite. Unsere Systeme loggen weder DNS-Anfragen noch IP-Adressen und blockieren keine Inhalte.
Einer der Kritikpunkte von DoT und DoH ist die mögliche, weitere Zentralisierung von DNS-Resolvern durch kommerzielle Anbieter wie Cloudflare, Google oder IBM. Aus diesem Grund haben wir unsere Konfiguration schon seit jeher veröffentlicht und regen dazu an, eigene DoT- und/oder DoH-Resolver zu betreiben und unsere Konfiguration zu prüfen und Verbesserungsvorschläge einzureichen.
Rückblick
Ende 2018 haben wir mit der Konzeption und einem ersten Testsetup unseres DNS-Services begonnen. Mit den ersten Erfahrungen haben wir zum Jahresbeginn 2019 das aktuelle Setup in produktiver Umgebung bei Community Rack aufgebaut. Am Winterkongress 2019 wurde unser Service im Vortrag «DNS mit DoT und DoH» erstmals öffentlich vorgestellt. Es folgte dann die Bekanntmachung hier im Blog am 11. April 2019.
Seit August 2019 veröffentlichen wir jährlich einen Transparenzbericht.
Im letzten Jahr konnten wir unsere Ziele aus dem Vorjahr erreichen: Die Betriebssysteme unserer redundanten Server und die eingesetzten Softwareversionen wurden aktualisiert. Unsere Systeme unterstützen seit letztem Sommer nun Authority Zones, sodass wir eine Kopie der Root-Zone lokal vorhalten und DNS Out-of-Order processing, beides beschleunigt die Antwortzeiten. Zusätzlich haben wir unser Server-Monitoring erweitert, um deren Funktionalität und Verfügbarkeit besser einschätzen zu können.
Ausblick
Bezüglicher unserer Dienste und Infrastruktur waren wir bis anhin per Mail auf dienste(ät)digitale-gesellschaft.ch erreichbar oder direkt via GitHub, wo unsere Konfiguration einsehbar ist. Neu bieten wir zusätzlich einen Twitter-Kanal an, der sich explizit um unsere technischen Dienste und Infrastruktur dreht: @digiges_dienste
Im kommenden Jahr planen wir, unsere gesamte Infrastruktur und Dienste weiter zu harmonisieren. Für Personen, die unsere Secure DNS Resolver nutzen, planen wir eine einfache Möglichkeit verifizieren zu können, ob ihre Konfiguration korrekt ist und sie tatsächlich unsere Secure DNS Resolver nutzen. Mittelfristig wollen wir EDNS0 Padding anbieten. Auch die Informationen und Dokumentationen wollen wir etwas ansprechender organisieren.
Weitere empfehlenswerte DoT- und DoH-Betreiberinnen
Im Web gibt es Listen mit diversen Anbieterinnen von verschlüsselten DNS-Resolvern. Zwei Betreiberinnen solcher Secure DNS-Dienstleistungen, mit denen wir auch technisch immer wieder im Austausch sind, möchten wir an dieser Stelle empfehlend nennen. Zum einen die Stiftung Switch in Zürich (Privacy Policy) und zum anderen die Non-Profit Organisation Foundation for Applied Privacy, welche in Österreich tätig ist und, wie die Digitale Gesellschaft, weder loggt noch filtert.
Fragen und Anregungen zu all unseren Services nehmen wir gerne per Mail auf dienste(ät)digitale-gesellschaft.ch oder per Twitter @digiges_dienste entgegen.