Erfahrungen mit DNS over TLS

    This site uses cookies. By continuing to browse this site, you are agreeing to our Cookie Policy.

    • Erfahrungen mit DNS over TLS

      Ich überlege seit einiger Zeit auf meiner Fritzbox 7590 DNS über TLS zu machen. Hat schon jemand Erfahrung damit gesammelt und wo sind Probleme zu erwarten? Und wenn möglich keine Vorschläge wie : "Probiere es doch aus". Das werde ich, wenn ich mich vorher hinreichend schlau gemacht habe ;) :D
    • Seit der Version 7.22 läuft es stabil, davor gab es nach einiger Zeit keine DNS-Abfragen mehr. Wenn Du auf Deiner FritzBox mind. die Version 7.22 hast, kannst Du es einschalten.

      @Knifte: Dass Du keine Veränderung merkst ist ja Sinn der Sache. Es geht darum, dass DNS für den Endanwender genau so funktioniert wie vorher, nur Dein ISP (und andere) nicht mehr sehen kann welche Seite Du aufrufst. Eine Veränderung merkst Du nur, wenn Du versuchst eine Seite aufzurufen, die Dein ISP bisher geblockt hat. Die wird nämlich jetzt gehen.
    • Gegen welche DNS Server im Internet kann man DNS over TLS eigentlich nutzen? Der eigene Router schickt die Anfragen ja zu anderen DNS Servern.
    • DNS over TLS – Wikipedia

      Von Google-DNS rate ich ab, denn wenn ich nicht trackbar sein will, meine DNS-Anfragen aber zu dem weltweit größten Tracker schicke, der genau damit sein Geld verdient, dann macht das in meinen Augen absolut keinen Sinn.
      Ich selbst nutze Quad9, die machen für mich den seriösesten Eindruck, unter anderem deswegen: ▷ Der öffentliche Domain Name Service Quad9 zieht in die Schweiz für den ... | Presseportal
    • Danke, google hatte ich auch mal mitbekommen, aber zu dieser Datenkrake alle DNS Requests zu schicken, finde ich auch unsinnig.
    • Super, schon mal vielen Dank für Eure Antworten! Quad9 werde ich mir auf alle Fälle mal anschauen. Dass ich dazu nicht Google verwende ist selbstverständlich. Nur Schade, dass die großen deutschen Provider dieses Thema aber offensichtlich für nicht wirklich wichtig halten.

      @Teddybär Du hattest bisher keine Probleme mit DoT bei Quad9 im Sinne von nicht erfolgter Namensauflösung o.ä?

      Edit: Fritz 7.22 ist aber noch Beta, oder?

      The post was edited 1 time, last by Dieter59 ().

    • Am Ende frage ich mich immer, wieviel mehr Sicherheit einem DNS over TLS wirklich bringt

      Irgendein DNS Server, den man anspricht, wird ja die Anfrage dann trotzdem sehen. Ein Mitlauschen in den Providernetzen ist ja am Ende für die Provider immer möglich. Wenn man dann DNS verschlüsselt, sehen sie spätestens bei den später angesprochenen IP Adressen, wohin man zugreift.

      Ich sehe momentan noch keine wirklichen Vorteil bei dem Thema DNS over TLS
    • Dieter59 wrote:

      Du hattest bisher keine Probleme mit DoT bei Quad9 im Sinne von nicht erfolgter Namensauflösung o.ä?
      Wie geschrieben gab es Probleme bis zur Version 7.21, die in der 7.22 behoben wurden. Die Probleme äußerten sich darin, dass die Namensauflösung einige Stunden bis wenige Tage ging und dann plötzlich nicht mehr. Nach einem Reboot ging es dann wieder für einige Stunden bis Tage. Ich würde an Deiner Stelle auf die 7.22 warten oder eine Labor installieren, wenn Dir das Feature wichtig ist.

      Dieter59 wrote:

      Fritz 7.22 ist aber noch Beta, oder?
      Das ist abhängig von der Box. Für meine 6591 Cable ist die 7.22 bereits final.
    • Ich habe mit Quad9 auch keinerlei Probleme, seitdem ich das nutze.

      Aktuell habe ich auch die aktuelle Laborversion auf meiner FritzBox 7590.
    • Nutze das nicht über die Fritte sondern per DNSCrypt am Raspi, weil dort eh Pi-Hole läuft.
      Zu sagen gibt es da nicht viel. Gäbe es Probleme, würde ich es nicht mehr nutzen.
      ┌─────────────────────────────────────────────────────┐
      "Zwei unterschiedliche Kanäle zur selben Zeit. Wahnsinn. Moderne Zeiten." M. Reif
      └─────────────────────────────────────────────────────┘
    • Teddybär wrote:

      Seit der Version 7.22 läuft es stabil, davor gab es nach einiger Zeit keine DNS-Abfragen mehr. Wenn Du auf Deiner FritzBox mind. die Version 7.22 hast, kannst Du es einschalten.
      Die Probleme mit 7.21 kann ich bestätigen.
      Auf einmal läuft Amazon Prime am TV nicht mehr und VWeather bekommt keine Daten.
      Lief ca. eine Woche gut, dann nicht mehr.
      Danke für die Info.
      Carpe diem!
      Vu+ Wiki
      Skin CerX FHD - Plugin TMDb - Plugin BacksNcovers - Plugin FritzDect - Plugin AutoShredder - Plugin PluginMover - EPG GraphMultiEPG - ... [Alle anzeigen]
    • Führt das nicht zu Einbußen beim Speed bei Euch? Wenn z.B. Quad9 genutzt wird, habe ich gerade bei Chip gelesen, kann das schon der Fall sein, mal abgesehen davon, ob man nun DoT nutzt oder nicht. Eventuell verliert man durch Nutzung von DoT nochmals Speed? Ist nur mal 'ne Frage, ich habe mich heute erstmals mit dem Thema beschäftigt und keine Ahnung vom Thema. Reichen denn nicht die Nutzung von Malwarebytes und F-Secure (beides läuft hier), um sicher zu sein bezüglich Malware, Phishing, Botnets usw.?
      Schreibe auch im Forum mit korrekter Rechtschreibung und Grammatik: Browser-Add-on LanguageTool hilft Dir dabei :)

      Mach mit: Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG
    • knuti1960 wrote:

      Eventuell verliert man durch Nutzung von DoT nochmals Speed?
      Eine DNS-Abfrage dauert mikro- bis milliSekunden.. Welchen Speed willst du da verlieren?
      Zumal die Abfrageergebnisse eh lokal gecached werden
      ACHTUNG!!!! Hier folgt eine Signatur:


      Die Benutzung der Suche ist NICHT verboten! D:

      "Hilfe!!!" ist kein sinnvoller Titel für einen neuen Thread, ebensowenig "VU+Zero" oder vergleichbares.

      Keine Hilfe ohne ausgefülltes Profil!
      Kein Netzwerksupport bei manueller IP-Adress-Vergabe :-)
      Kein Support bei portforwardings/ Portfreigaben
    • @knuti1960 lies mal unter dem Link in Post 9. Die Abfragen des DNS werden unverschlüsselt übertragen und können auch "abgehört" werden, davor kann Dich keine lokal installierte Software schützen. Und was die Performance angeht hat @GaborDenes ja schon was geschrieben.

      Dann mal vielen Dank an alle. Dann warte ich mal auf die 7.22 oder installiere mir mal die 7.24 beta um das zu testen.

      :erledigt:

      The post was edited 2 times, last by Dieter59 ().

    • Dieter59 wrote:

      Und was die Performance angeht hat @GaborDenes ja schon was geschrieben.
      Ist halt die Frage, ob er recht hat. Wie oben verlinkt, Chip-Redakteure schreiben:
      Beim Thema Speed gibt es noch Luft nach oben, die öffentlichen DNS-Server von Google oder OpenDNS sind im Benchmark-Vergleich schneller.
      Na ja, ob es letztendlich was ausmacht, ich kann das nicht beurteilen.

      Dieter59 wrote:

      lies mal unter dem Link in Post 9.
      Habe ich natürlich, und auch noch ein paar andere Seiten zum Thema gelesen. Heute aber erst. Aber in ein paar Tagen bin ich schlauer... ;)
      Schreibe auch im Forum mit korrekter Rechtschreibung und Grammatik: Browser-Add-on LanguageTool hilft Dir dabei :)

      Mach mit: Sichere E-Mail- und Datei-Verschlüsselung mit GnuPG
    • Na wenn die Chip das schreibt...

      Mal im Ernst: Es gibt wohl nur noch eine Computerzeitschrift, deren Redakteure noch unfähiger sind, und das wäre die Computerbild.
      OK, jetzt wirklich ernsthaft: Verlage leben von Auflage bzw, heutzutage eher von dem Umsatz durch Reichweite, neudeutsch auch "Klicks" genannt. Und wieso wundert es dann nicht, dass Google da gewinnt? Frag Dich das mal.

      Und ja, @GaborDenes hat Recht. Eine ungecachte DNS-Abfrage dauert im Schnitt ca. 50ms. Nachdem Dein Router diese aber einmal gemacht hat, nimmt er die Adresse in seinen Cache auf und eine gecachte Abfrage dauert ca. 1ms. Dabei ist es dann egal, ob diese mal per DNS over TLS kam oder nicht. Glaube uns, Du wirst den Unterschied nicht merken.

      Gruß,
      Stefan

      P.S.: Ich muss meine Aussage bzgl. der 7.22 übrigens widerrufen. Nachdem es jetzt fast 3 Wochen ging, ist soeben meine DoT-Auflösung erneut ausgefallen und ich musste auf normales DNS zurück. Da muss AVM wohl noch mal ran...