.titleBar { margin-bottom: 5px!important; }

Firefox mit verschlüsselten DNS Anfragen nutzen

Dieses Thema im Forum "Allgemeines" wurde erstellt von HabNeFritzbox, 15 Apr. 2019.

Schlagworte:
  1. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,892
    Zustimmungen:
    170
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Moin Moin,

    um DNS zu verschlüsseln direkt vom Browser aus, dass weder Windows, Router oder Anbieter mitlesen kann, kann man DoH verwenden. Etwas mehr Infos zu findet man auf https://www.privacy-handbuch.de/handbuch_21w.htm

    Zum ändern im Firefox auf die Seite about:config

    Dort den Wert network.security.esni.enabled auf true ändern und network.trr.mode auf 2 ändern.

    Im Test sollten dann alle 4 Punkte grün sein, ohne Änderung der Konfig im Browser zumindest mittleren beiden Punkte.
    https://www.cloudflare.com/ssl/encrypted-sni/

    Es wird in der Standardkonfig dann DNS von Cloudflare verwendet.

    Wenn man so schauen will dass DNSsec zumindest richtig durchgereicht über normale System/Router kann man prüfen mit http://en.conn.internet.nl/connection/

    Die FritzBox unterstützt als DNS Resolver entsprechend ganze durchzureichen.

    Mit Provider DNS von Telekom und co. gibt es Beanstandungen und keine 100%, mit Google oder Cloudflare DNS im Router bekommt man die 100%. Man sollte im Router die Standard DNS ändern, allein damit DNS Sperren von Vodafone und co. nicht greifen und man keine Einschränkungen hat.

    Und wenn man noch allgemein bei Webseiten schauen will ob die DNSsec einsetzen und TLSA Records valide sind hilft Addon https://addons.mozilla.org/de/firefox/addon/dnssec/

    Die üblichen großen Webseiten wie Telekom, Goolge, Amazon und co verwenden kein DNSsec, sind sich die Admins wohl zu schade für, dabei ist es nicht schwer umzusetzen.
     
  2. Theo Tintensich

    Theo Tintensich Aktives Mitglied

    Registriert seit:
    10 März 2008
    Beiträge:
    1,475
    Zustimmungen:
    31
    Punkte für Erfolge:
    48
    Ort:
    Berlin
    All seine DNS-Auflösungen über Cloudflare machen zu lassen, liefert denen sehr viele Daten des eigenen Surfverhaltens.
    Auch kann man damit z.B. lokale Namen nicht mehr (so einfach) auflösen.

    DoH löst nicht das Problem, dass man seinem DNS-Anbieter vertrauen muss Einen der großen Datensammler damit zu beauftragen, sehe ich persönlich als 'ungünstig' an.

    Auch sehe ich es al Problematisch an, wenn die verschiedenen Dienste auf dem eigenen Server unterschiedliche Anbieter bei der Namensauflösung verwenden. Die Namensauflösung sollte auf dem Computer nur von einem Dienst durchgeführt werden, es sollte nicht jede Anwendung seine eigenen Lösungen verwenden.

    Von den beiden Punkten ist für mich der zweite der Punkt, der mich hindert, DoH oder DoT zu verwenden, wen es nicht vom DNS-Resolver des Computers, oder dem, den ich in meinem Netz verwende, eingesetzt wird.
    DoT oder DoH ist auch kein Ersatz für DNSSEC, die beiden ersteren verhindern eine Lauschen (und verändern, aber das macht ja auch DNSSEC) auf dem Transportweg, der dritte stellt insgesamt sicher, dass die Daten dem Entsprechen, was der Betreiber des Servers definiert hat.
     
  3. Peter_Lehmann

    Peter_Lehmann Neuer User

    Registriert seit:
    13 März 2007
    Beiträge:
    54
    Zustimmungen:
    6
    Punkte für Erfolge:
    18
    Ort:
    Hengasch / Eifel
    Guten Morgen!

    Die letzte Aussage ist unbestritten. Denke mal, das sieht jeder mitdenkende Mensch genau so.
    Allerdings habe ich in veröffentlichten Unterlagen von Mozilla (sinngemäß jetzt von mir zitiert) zweierlei gelesen:
    1.) Die alleinige Nutzung von Cloudflare dient des Test des Verfahrens. Mozilla will, wenn alles gut funktioniert, auch mit anderen (mehreren!) Anbietern zusammenarbeiten. Cloudflare ist mit seiner hervorragenden Infrastruktur einer der besten und weltweit vertretenen DNS-Anbieter. IMHO ein guter Partner für diesen Test.
    2.) Mozilla hat nach eigenen Angaben einen guten Vertrag mit Cloudflare geschlossen, welcher das "Datensammeln" zum Nachteil der Nutzer einschränken soll.

    Ich sehe es so:
    - Im Interesse der Nutzer des Internets sollte das unverschlüsselte DNS endlich abgeschafft werden.
    - Und auf dem Weg zu diesem Ziel muss man eben auch mal Schritte gehen, welche nicht unbedingt optimal sind.
    - Und als besonders wichtig sehe ich eine offene und ehrliche und vertrauensbildende Information der Nutzer an. Und das hat IMHO Mozilla getan.

    Gegenwärtig noch problematisch sehe ich:
    - die schon erwähnte Auflösung innerhalb eigener Netze,
    - und hier speziell die Nutzung solcher Helfer wie pihole - auf den ich nur äußerst ungern verzichten möchte. Aber hier habe ich ja noch gar nicht angefangen zu testen. Denke mal, dass es auch hier Lösungen geben wird.


    MfG Peter
     
  4. weißnix_

    weißnix_ Mitglied

    Registriert seit:
    4 Aug. 2015
    Beiträge:
    513
    Zustimmungen:
    27
    Punkte für Erfolge:
    28
    Wie verhält es sich mit srv-einträgen im eigenen Providernetz (z.B. für VoIP)?
     
  5. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,892
    Zustimmungen:
    170
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Ich nutze Cloudflare in der FB, damit nicht alles an Google geht wenn man schon Suche dort verwendet.

    Im ersten oben genannten Link stehen auch noch paar andere Server wenn man Google und Cloudflare nicht mag.

    Irgendeinen DNS muss man ja verwenden, als DoH/DoT kann man sich bestimmt auch auf nem RasPi einbinden, aber wohl nicht wirklich was, da es ja nur die kurze Strecke im Heimnetz betrifft und RasPi dann wieder alles unverschlüsselt anfragt.
     
  6. chilango79

    chilango79 Aktives Mitglied

    Registriert seit:
    14 Apr. 2010
    Beiträge:
    1,845
    Zustimmungen:
    35
    Punkte für Erfolge:
    48
  7. avm_7170

    avm_7170 Aktives Mitglied

    Registriert seit:
    4 Juni 2015
    Beiträge:
    808
    Zustimmungen:
    37
    Punkte für Erfolge:
    28
    Ort:
    Berlin
    einfach den Tor Browser auf Firefox Basis nutzen ... da greift auch keine DNS Sperre des Providers
     
  8. HabNeFritzbox

    HabNeFritzbox IPPF-Urgestein
    Forum-Mitarbeiter

    Registriert seit:
    12 Dez. 2017
    Beiträge:
    14,892
    Zustimmungen:
    170
    Punkte für Erfolge:
    63
    Ort:
    fd00:HAM:BURG::/64
    Tor ist langsam, und geht nicht nur um den Browser.
     
  9. rollo

    rollo IPPF-Promi

    Registriert seit:
    5 Juli 2004
    Beiträge:
    8,288
    Zustimmungen:
    1
    Punkte für Erfolge:
    38
    Ort:
    JO30SK
    verstehe ich die Umfrage nicht. DNSsec ist was völlig anderes als DoH oder Dot.

    jo
     
  10. henry90

    henry90 Aktives Mitglied

    Registriert seit:
    13 Feb. 2007
    Beiträge:
    801
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Ich benutze diese Lösung:
    https://www.mielke.de/blog/Mit-dem-...fuer-das-gesamte-lokale-Netz-einrichten--488/
    zusammen mit dem darin enthaltenen Link:
    https://pi-hole.net/2018/06/09/ftldns-and-unbound-combined-for-your-own-all-around-dns-solution/
    Ohne Hyperlocal.
    Kommt mir deutlich einfacher vor als die Kuketzanleitung.
    Läuft bei mir seit einigen Monaten völlig stabil.

    Rundum zufrieden kann man trotzdem nicht sein. Der ISP erhält ja letztendlich alle zahlenmäßigen IP-Adressen der noch so sicher aufgelösten Domain-Names und kann, wenn er will, seiner Sammelleidenschaft frönen.