öffentliche DNS-Anbieter (Cloudflare, Google und Andere)

Bei einem normalen Internetanschluss bekommt man in der Regel von seinem Provider nicht nur eine IP-Adresse zugewiesen (im Idealfall mindestens eine IPv4-Adresse und ein 64er IPv6-Netz), sondern auch entsprechende DNS-Server. Jetzt kann man denken „funktioniert doch, reicht doch“. Allerdings gibt es ein par Aspekte, die den ein oder anderen dann vielleicht doch dazu bewegen, auf einen öffentlichen DNS-Anbieter zu wechseln – oder eben gerade nicht. Cloudflares 1.1.1.1, Googles 8.8.8.8 und Quad9s 9.9.9.9 sind hier Aufgrund der einfachen Adressen wohl die bekanntesten.

Geschwindigkeit

Die Geschwindigkeit der DNS-Auflösung ist ein nicht ganz unwichtiger Faktor. Je schneller eine Gerät in der Lage ist eine Domain zu einer IP-Adresse aufzulösen, desto schneller können alle weiteren Schritte des Internetverkehrs getan werden. Solange der Domain aber nicht aufgelöst ist, muss hierauf gewartet werden. Eine gute Übersicht über öffentliche DNS-Server und deren Geschwindigkeit bekommt man bei https://www.dnsperf.com. Cloudflare belegt hier fast immer Platz 1.

Dual-Stack

Ich habe für mich den Anspruch des vollwertigen Dual-Stacks im gesamten Netzwerk. Das heißt, dass der DNS-Server bitte auch per IPv4 und IPv6 erreichbar sein soll, auch wenn die IPv6 DNS Auflösung (der AAAA Record) durchaus über IPv4 möglich ist. Einige Provider bieten keine IPv6 Nameserver an bzw. machen ihre Nameserver nicht über IPv6 erreichbar. Die meisten öffentlichen DNS-Server sind per Dual-Stack angebunden.

DNSSEC

Bei DNSSEC werden DNS-Antworten mit einem privaten Schlüssel signiert und ermöglichen so eine Validierung der Echtheit der Antwort (das ist jetzt eine vereinfachte Darstellung). Viele DNS-Server von Providern unterstützen aktuell aber noch kein DNSSEC. Damit DNSSEC funktioniert muss selbiges von den Root-DNS-Servern, den TLD-DNS-Servern und den DNS-Servern der angefragten Domain unterstützt werden. Die Root-DNS-Server unterstützen dies, eine Liste der TLDs und deren DNSSEC Unterstützung ist bei der ICANN zu finden. Leider wird DNSSEC von .ge noch nicht unterstützt, so dass meine Domain heg.ge nicht mit DNSSEC abgesichert werden kann.

EDNS Client-Subnet-Auswertung

Dann gibt es da noch das Auswerten des EDNS Client-Subnets. Hierbei handelt es sich um eine DNS-Erweiterung mit deren Hilfe DNS-Server (die die für die Ziel-Domain zuständig sind) einen Teil der anfragenden IP-Adresse bekommen. Genutzt wird dies, um bei CDN-Systemen eine möglichst nahe IP-Adresse zurück zu bekommen. Aus Sicht des Datenschutzes ist das natürlich nicht so gut. Wenn der DNS-Server, den man anfragt, diese Informationen nicht an den DNS-Server der Domain weiter leitet, so hat man ein wenig mehr Privatsphäre bekommen, aber unter umständen einen weiteren Traffic-Weg zu der angefragten Webseite.

Inhalts-Filterung

Einige DNS-Anbieter bieten auch DNS-Server mit Content-Filterung an. Hier werden Webseiten, die schädliche Inhalte anbieten, nicht aufgelöst. Wie jedoch im Detail eine solche Filterung statt findet und nach welchen Kriterien, ist meist nicht einsehbar. Mir persönlich ist die Netzneutralität wichtiger. Jedoch überlege ich durchaus, auf den Geräten meiner Kinder auf eine solche Filterung zurückzugreifen. Verschiedene DNS-Server mit Geräten im gleichen Netzwerk per DHCP anzubieten ist keine leichte Aufgabe – aber möglich. Dazu werde ich mal einen eigenen Artikel schreiben.

Datenschutz

Und dann gibt es da noch den Punkt der Vertraulichkeit. Ein DNS-Server löst für einen jede Domain auf. Das bedeutet, dass er auch eine Menge Daten über einen erhält, die man ihm evtl. nicht mitteilen möchte. Mit seinem Internetprovider hat man so oder so einen Vertrag, der den Provider auch zur Wahrung des Datenschutzes anhält. Außerdem ist in Deutschland der Provider auch an die deutschen Gesetzte und die DSGVO gebunden. Für einen freien DNS-Anbieter, der unter Umständen in den USA sitzt, gelten diese Regeln nicht unbedingt. Auch sollte man sich darüber Gedanken machen, was die anbietenden Firmen für ein Interesse haben könnten, kostenlos einen DNS-Service bereit zu stellen der sicherlich nicht gerade günstig zu betreiben ist. Grob ist meine Meinung dazu: Google verdient hauptsächlich Geld mit Nutzerdaten und bietet massig Services an um Menschen an sich zu binden, Cloudflare verdient Geld mit CDN-Services. Was Anbieter wie Quad9, die aus IBM und anderen Firmen bestehen, für ein Interesse haben, wird nicht so ganz klahr.

Fazit

Ob man nun einen öffentlichen DNS-Server nutzt oder nicht sollte man sich anhand der hier belichteten Kriterien überlegen. Ich nutze aktuell Cloudflare – hauptsächlich Aufgrund der Performance, dem womit sie ihr Geld verdienen (keinen Userdaten) und der Netzneutralität.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.