DNSCrypt stellt mit kryptografischen Verfahren sicher, dass man wirklich den gewünschten DNS-Server verwendet und verschlüsselt die Kommunikation zum DNS-Server. DNScrypt sichert also als Ergänzung zu DNSSEC die "letzte Meile" zwischen DNS-Server und PC.
Installation von DNSCrypt unter Windows
Für Windows gibt es mit
SimpleDNSCrypt ein einfach installierbares MSI-Paket. Nach der Installation des Paketes kann
man über eine grafische Oberfläche den DNSCrypt Daemon konfigurieren und die bevorzugten DNSCrypt Server auswählen.
Bei der Serverwahl sollte man darauf achten, dass DNSSEC unterstützt wird. Standardmäßig werden auch Google und Cloudflare verwendet! DNSCrypt kann sich auch automatisch um die Auswahl von geeigneten Servern kümmern, wenn man Kriterien definiert.
Installation von dnscrypt-proxy unter Ubuntu
Um DNSCrypt zu nutzen, muss man den
"dnscrypt-proxy" als lokalen DNS-Resolver auf dem eigenen Rechner installieren und als DNS-Server verwenden. Aktuell ist die Version 2.0, die neben dem DNSCrypt Protokoll auch DNS-over-HTTPS beherrscht.
Für aktuelle Ubuntu Versionen gibt es ein
PPA-Repository für dnscrypt-proxy.
> sudo add-apt-repository ppa:shevchuk/dnscrypt-proxy
> sudo apt update
> sudo apt install dnscrypt-proxy
Nach der Installation ist die Konfigurationsdatei anzupassen und die gewünschten Upstream DNS-Server sind zu aktivieren. Standardmäßig nutzt dnscrypt-proxy Google und Cloudflare!
Danach kann man den lokalen
dnscrypt-proxy als DNS-Server im Networkmanager konfigurieren.
Hinweis für WiFi-Hotspots
Um sich bei WiFi-Hotspots anmelden zu können, muss man den DNScrypt Proxy abschalten und die originale DNS Konfiguration wieder herstellen, weil sonst der Redirekt auf die Anmeldeseite des WiFi-Hotspot nicht funktioniert:
> sudo service dnscrypt-proxy stop
Die WiFi-Hotspots manipulieren die DNS-Abfragen und leiten den Surfer auf eine Login-Seite. Diese DNS-Manipulation wird durch DNScrypt verhindert. Wenn man sich angemeldet hat und der Zugang zum Internet freigegeben wurde, kann man den
"dnscrypt-proxy" Daemon wieder starten.
> sudo service dnscrypt-proxy start