DNS over TLS (DoT) auf FritzBox und in Windows 10/11 aktivieren

Windows

Was ist DNS over TLS?

DNS over TLS (DoT) ist ein Protokoll, mit dem DNS-Abfragen, d. h. vor allem Abfragen zur Auflösung von Hostnamen in IP-Adressen und umgekehrt, über das Transport-Layer-Security-Protokoll verschlüsselt übertragen werden. (Auszug Wikipedia)

 

DNS over TLS auf der FritzBox aktivieren

Als erstes müssen wir in die DNS-Server Einstellungen der FritzBox wechseln unter Internet -> Zugangsdaten -> DNS-Server. Die alternativen DNSv4- und DNSv6-Server können angepasst werden, es ist aber nicht zwingend erforderlich. In meinem Fall habe ich die IP-Adressen von Cloudflare eingetragen.

Im zweiten Schritt müssen wir die Verschlüsselte Namensauflösung im Internet (DNS over TLS) aktivieren und Auflösungsnamen von sicheren DNS-Servern eintragen. In meinem Fall habe ich die Server von Cloudflare und Google angegeben:

  • one.one.one.one
  • 1dot1dot1dot1.cloudflare-dns.com
  • dns.google

 

Einstellungen überprüfen

Zu guter Letzt können wir die Einstellungen noch prüfen. Bei der FritzBox sollte unter Internet -> Online-Monitor hinter den genutzten DNS-Servern jetzt (DoT verschlüsselt) stehen.

Des weiteren kann auch ein Test über die folgende Seite erfolgen: https://www.cloudflare.com/de-de/ssl/encrypted-sni/. Dort sollte Secure DNS entsprechend mit einem grünen Haken versehen sein.

 

Weitere DoT Server

Hier noch eine Liste von weiteren DNS over TLS unterstützten Anbietern/Servern:

Cloudflare

  • one.one.one.one
  • 1dot1dot1dot1.cloudflare-dns.com

Google

  • dns.google

Quad9

  • dns.quad9.net

Adguard

  • dns.adguard.com
  • dns-family.adguard.com

CleanBrowsing

  • adult-filter-dns.cleanbrowsing.org
  • family-filter-dns.cleanbrowsing.org
  • security-filter-dns.cleanbrowsing.org

 

DoH-Support im Betriebssystem

Günstiger wäre es in vielen Fällen indes, wenn man DoH auf der Ebene des Betriebs­systems nutzen könnte. Zu einen profitieren dann alle Anwendungen davon, zum anderen kann man die DNS-Server an einer Stelle konfigurieren.

Microsoft kommt diesem Ziel nun in den Previews für Windows 10 21H2 und Windows 11 näher. Während man in den ersten vorläufigen Ausführungen dieses Feature noch über Registry-Schlüssel aktivieren musste, steht dafür nun eine entsprechende Option in der App Einstellungen zu Verfügung.

Sie findet man unter Netzwerk und Internet, wenn man dort die Einstellungen von Ethernet oder WiFi bearbeitet. Dabei muss man von DHCP auf statisch umstellen und den DNS-Server manuell setzen. Bei dieser Gelegenheit erlaubt Windows die Auswahl einer Option für die DNS-Verschlüsselung, wenn der Server dies unterstützt.

DNS-Server mit DoH-Unterstützung eintragen

Das Betriebs­system findet das zurzeit nicht selbständig heraus. Daher muss man dem OS schon vorab beibringen, welche DNS-Server für eine solche Verbindung in Frage kommen und unter welcher URL sie zu erreichen sind.

 

Einige davon hat Microsoft bereits im System vorgegebenen, sie lassen sich mit

Get-DnsClientDohServerAddress

abfragen.

Um eigene DoH-Dienste hinzuzufügen, greift man zum Cmdlet

Add-DnsClientDohServerAddress -ServerAddress '<IP-Adresse>' `
-DohTemplate '<DoH-Vorlage>'

Bestehende Einträge kann man mit Set-DnsClientDohServerAddress ändern. Darüber hinaus erlaubt netsh.exe mit neuen Parametern die Pflege der DNS-Server für DoH.

In Zukunft soll diese manuelle Anpassung der DNS-Konfiguration entfallen, wenn Clients eigenständig erfragen können, ob ein Server DNS over HTTPS unterstützt. Microsoft reicht dafür einen ent­sprechenden Vorschlag bei der IETF zur Standar­disierung ein.

DoH über Gruppenrichtlinien steuern

Für die zentrale Verwaltung von DoH enthalten die aktuellen Previews von Windows 10 und 11 bereits eine Einstellung für die Gruppen­richtlinien. Sie findet sich unter Computer­konfiguration => Richtlinien => Administrative Vorlagen => Netzwerk => DNS-Client und heißt Namens­auflösung von DNS über HTTPS (DoH) konfigurieren.

Hier kann man entweder DoH für alle Anfragen erzwingen oder es generell unterbinden. In den meisten Fällen dürfte die Option DoH zulassen am besten geeignet sein, weil sie einen Rückfall auf eine unver­schlüsselte Anfrage erlaubt, wenn der Server kein DoH unterstützt.

 

 

Fazit

Nach einer längeren Vorlaufzeit macht Microsoft nun Ernst mit der Unterstützung von DNS over HTTPS im Betriebs­system. Es steht damit allen Anwendungen zur Verfügung und damit sollte sich mittelfristig auch die separate DoH-Unterstützung der Web-Browser erübrigen. In verwalteten Umgebungen lässt sich dieses Feature auch über Gruppen­richtlinien steuern.

Den größten Nutzen bietet DoH sicherlich für Benutzer, die außerhalb des gesicherten Firmen-LANs arbeiten, etwa wenn sie sich mit einem öffentlichen WiFi verbinden.