Aktualisierungen im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy Handbuch

Die meisten DNS-Server der Zugangsprovider verwenden kein DNSSEC zur Validierung. Das könnte ein Grund (Sicherheit) für einen anderen, selbst ausgewählten DNS-Server sein.

Einige deutsche Kabelnetzprovider betreiben keine eigenen DNS-Server mehr sondern schicken ihre Kunden einfach zu Google-DNS (8.8.8.8) oder Cloudflare (1.1.1.1). Wenn man mit der Datensch(m)utz Policy der Default DNS-Server der Provider nicht einverstanden ist, muss man sich auch selbst kümmern und die DNS-Server auf dem Router anpassen.

Das Sammeln, Auswerten und Verkaufen von DNS Daten der Kunden durch den Zugangsprovider ist in angelsächsischen Ländern üblich (USA, GB) aber in Deutschland nicht.

Zensur durch manipulierte DNS-Server spielte nach der Abwehr des ZugErschwG zeitweise keine Rolle in Deutschland, wurde 2022 von der EU unter Führung von Ursula v.d.L. zur moralischen Reinhaltung und Abwehr russischer Propaganda aber wieder eingeführt (beispw. bei Telekom und T-Mobile). Wer sich bei FEINDSENDERN informieren will, braucht unzensierte DNS-Server.

Die Nachdenkseiten berichteten im Dez. 2022, dass sie bei einigen Zugangsprovider zeitweise gesperrt wurden, unter Hinweis auf das Zensurverodnung der EU. Wenn man nicht eines Tages feststellen möchte, dass interessante Seiten im Netz nicht mehr erreichbar sind, sollte man rechtzeitig über unzensierte DNS Alternativen nachdenken. Die Bemühungen zur Einführung von mehr Zensur werden auch in der EU stärker - das ist seit 2022 kein Alleinstellungsmerkmal von Diktaturen.


Hinweis: Ein Trackingdienst könnte ermitteln, welcher DNS-Server vom Browser verwendet wird, und diese Information als Parameter für das Fingerprinting des Browser verwenden:

  1. Der Webserver sendet im HTML Code ein kleines, überflüssiges Element, welches von einer zufällig generierten Subdomain des Trackingservice geladen werden soll.
  2. Der Browser versucht die IP-Adresse für diese Subdomain zu ermitteln. Der konfigurierte Upstream DNS-Server hat die Information nicht im Cache und muss deshalb den authorativen Server des Trackingdienstes anfragen.
  3. Der authorative DNS-Server des Trackingdienstes registriert die DNS Anfrage und die IP-Adresse des anfragenden DNS-Servers und sendet beides an den Trackingservice, wo die Information mit dem Aufruf der Webseite korrelliert werden kann.

Es gibt bisher noch keine empirischen Studien, die untersucht haben, ob dieses Verfahren "in the wild" genutzt wird. Aber es ist prinzipiell möglich. Deshalb sollte man kurz nachdenken, ob es Gründe gibt, einen selbst ausgewählten DNS-Server zu nutzen, ob der Vorteil an Sicherheit und Schutz gegen Zensur evtl. unerwünschte Nebeneffekte kompensiert.



Folgende zensurfreien und vertrauenswürdigen DNS-Server mit No-Logging Policy, DNSSEC Validierung und Anti-Spoofing Schutz (Testseite) kann man als Alternative zu den Default DNS-Servern der Provider für diejenigen empfehlen, die wechseln möchten:
Die folgenden DNS-Server filtern Werbung, Tracking und Malware Domains auf DNS Ebene. Alle drei Projekte werden von unabhägigen Einzelpersonen betrieben:

Beim Filtern von Trackingdomains ist die Grenze zur Zensur schmal und hängt davon ab, welche Filterlisten eingebunden werden. Die Fake News Blackliste von StevenBlack, enthält beispielsweise 56.000+ Einträge, die von irgendwem irgendwie als "Fake News" deklariert wurden.

Unabhängig von den Diskussionen um "Fake News", die wesentlich vom politischen Weltbild des Betrachters abhängt, ist die Sperrung von Informationen Zensur. Und ein unzensierter Zugang zu Informationen ist ein wichtiger Grund für die Konfiguration eigener DNS-Server. Bei DNS Servern mit Filterung sollte man prüfen, welche Blocklisten verwendet werden.

Professionell betreute, unzensierte DNS-Server von VPN-Providern

Der DNS- und VPN-Provider AdGuard stellt seine DNS-Server zur kostenfreien Nutzung bereit und finanziert sich mit zusätzlichen Premium Features. Die Server stehen in Westeuropa.

Njalla ist ein privacy-fokusierter, schwedischer Domain-, Hosting- und VPN-Provider, der seinen unzensierten DNS-Server kostenlos zur Verfügung stellt:

Der schwedische VPN-Provider Mullvad stellt seine DNS-over-TLS und DNS-over-HTTPS Server ebenfalls kostenlos zur Verfügung (kein Plain-DNS). Die Server stehen in Deutschland, Schweden, Großbritannien, Singapur sowie USA und sind unter einheitlichen IPs erreichbar.

DNS-Server der Big Player der IT Branche

Es gibt einige DNS-Dienste von den Big Playern der IT-Branche, die damit werben, die länderspezifische Zensur von Zugangsprovider zu umgehen, wie es in der Türkei u.a. üblich ist. Ein paar kleine Kommentare zu diesen Angeboten: