Privacy-Handbuch
Die meisten DNS-Server der Zugangsprovider verwenden kein DNSSEC zur Validierung. Das könnte ein Grund (Sicherheit) für einen anderen, selbst ausgewählten DNS-Server sein.
Einige deutsche Kabelnetzprovider betreiben keine eigenen DNS-Server mehr sondern schicken ihre Kunden einfach zu Google-DNS (8.8.8.8) oder Cloudflare (1.1.1.1). Wenn man mit der Datensch(m)utz Policy der Default DNS-Server der Provider nicht einverstanden ist, muss man sich auch selbst kümmern und die DNS-Server auf dem Router anpassen.
Das Sammeln, Auswerten und Verkaufen von DNS Daten der Kunden durch den Zugangsprovider ist in angelsächsischen Ländern üblich (USA, GB) aber in Deutschland nicht.
Zensur durch manipulierte DNS-Server spielte nach der Abwehr des ZugErschwG zeitweise keine Rolle in Deutschland, wurde 2022 von der EU unter Führung von Ursula v.d.L. zur moralischen Reinhaltung und Abwehr russischer Propaganda aber wieder eingeführt (beispw. bei Telekom und T-Mobile). Wer sich bei FEINDSENDERN informieren will, braucht unzensierte DNS-Server.
Die Nachdenkseiten berichteten im Dez. 2022, dass sie bei einigen Zugangsprovider zeitweise gesperrt wurden, unter Hinweis auf das Zensurverodnung der EU. Wenn man nicht eines Tages feststellen möchte, dass interessante Seiten im Netz nicht mehr erreichbar sind, sollte man rechtzeitig über unzensierte DNS Alternativen nachdenken. Die Bemühungen zur Einführung von mehr Zensur werden auch in der EU stärker - das ist seit 2022 kein Alleinstellungsmerkmal von Diktaturen.
Hinweis: Ein Trackingdienst könnte ermitteln, welcher DNS-Server vom Browser verwendet wird, und diese Information als Parameter für das Fingerprinting des Browser verwenden:
- Der Webserver sendet im HTML Code ein kleines, überflüssiges Element, welches von einer zufällig generierten Subdomain des Trackingservice geladen werden soll.
- Der Browser versucht die IP-Adresse für diese Subdomain zu ermitteln. Der konfigurierte Upstream DNS-Server hat die Information nicht im Cache und muss deshalb den authorativen Server des Trackingdienstes anfragen.
- Der authorative DNS-Server des Trackingdienstes registriert die DNS Anfrage und die IP-Adresse des anfragenden DNS-Servers und sendet beides an den Trackingservice, wo die Information mit dem Aufruf der Webseite korrelliert werden kann.
Es gibt bisher noch keine empirischen Studien, die untersucht haben, ob dieses Verfahren "in the wild" genutzt wird. Aber es ist prinzipiell möglich. Deshalb sollte man kurz nachdenken, ob es Gründe gibt, einen selbst ausgewählten DNS-Server zu nutzen, ob der Vorteil an Sicherheit und Schutz gegen Zensur evtl. unerwünschte Nebeneffekte kompensiert.
Folgende zensurfreien und vertrauenswürdigen DNS-Server mit No-Logging Policy, DNSSEC Validierung und Anti-Spoofing Schutz (Testseite) kann man als Alternative zu den Default DNS-Servern der Provider für diejenigen empfehlen, die wechseln möchten:
- Freifunk München (normales DNS, DNS-over-TLS und DNS-over-HTTPS)
- IPv4: 5.1.66.255
IPv6: 2001:678:e68:f000:: - IPv4: 185.150.99.255
IPv6: 2001:678:ed0:f000:: - Servername für DNS-over-TLS: dot.ffmuc.net
Adresse für DNS-over-HTTPS: https://doh.ffmuc.net/dns-query - für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)
- IPv4: 5.1.66.255
- Digitale Gesellschaft (CH) (DNS-over-TLS und DNS-over-HTTPS!)
- IPv4: 185.95.218.42
IPv6: 2a05:fc84::42 - IPv4: 185.95.218.43
IPv6: 2a05:fc84::43 - Servername für DNS-over-TLS: dns.digitale-gesellschaft.ch
Adresse für DNS-over-HTTPS: https://dns.digitale-gesellschaft.ch/dns-query - für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)
- IPv4: 185.95.218.42
- Censurfridns Denmark (aka. UncensoredDNS)
- IPv4: 91.239.100.100
IPv6: 2001:67c:28a4::
Servername für DNS-over-TLS: anycast.uncensoreddns.org - IPv4: 89.233.43.71
IPv6: 2a01:3a0:53:53::
Servername für DNS-over-TLS: unicast.uncensoreddns.org - für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)
- IPv4: 91.239.100.100
Die folgenden DNS-Server filtern Werbung, Tracking und Malware Domains auf DNS Ebene. Alle drei Projekte werden von unabhägigen Einzelpersonen betrieben:
- dismail.de (mit DNS-over-TLS)
- IPv4: 116.203.32.217
IPv6: 2a01:4f8:1c1b:44aa::1
Servername für DNS-over-TLS: fdns1.dismail.de - IPv4: 159.69.114.157
IPv6: 2a01:4f8:c17:739a::2
Servername für DNS-over-TLS: fdns2.dismail.de - für iOS 14+: Server1-Konf und Server2-Konf (unsigniert, von Dismail)
- IPv4: 116.203.32.217
- dnsforge.de (DNS-over-TLS, DNS-over-HTTPS)
- IPv4: 176.9.93.198
IPv6: 2a01:4f8:151:34aa::198 - IPv4: 176.9.1.117
IPv6: 2a01:4f8:141:316d::117 - Servername für DNS-over-TLS: dnsforge.de
Adresse für DNS-over-HTTPS: https://dnsforge.de/dns-query - für iOS 14+: DoT-Server-Konf und DoH-Server-Konf (signiert vom Betreiber)
- IPv4: 176.9.93.198
- BlahDNS.com (DNS-over-TLS, DNS-over-HTTPS, DNScrypt)
- IPv4: 78.46.244.143
IPv6: 2a01:4f8:c17:ec67::1
Servername für DNS-over-TLS: dot-de.blahdns.com - IPv4: 45.91.92.121
IPv6: 2a0e:dc0:6:23::2
Servername für DNS-over-TLS: dot-ch.blahdns.com - für iOS 14+: DoT-DE-Server-Konfiguration (unsigniert, vom PrHdb)
- (Außerdem gibt es weitere Server in Japan und Singapur.)
- IPv4: 78.46.244.143
Beim Filtern von Trackingdomains ist die Grenze zur Zensur schmal und hängt davon ab, welche Filterlisten eingebunden werden. Die Fake News Blackliste von StevenBlack, enthält beispielsweise 56.000+ Einträge, die von irgendwem irgendwie als "Fake News" deklariert wurden.
Unabhängig von den Diskussionen um "Fake News", die wesentlich vom politischen Weltbild des Betrachters abhängt, ist die Sperrung von Informationen Zensur. Und ein unzensierter Zugang zu Informationen ist ein wichtiger Grund für die Konfiguration eigener DNS-Server. Bei DNS Servern mit Filterung sollte man prüfen, welche Blocklisten verwendet werden.
Professionell betreute, unzensierte DNS-Server von VPN-Providern
Der DNS- und VPN-Provider AdGuard stellt seine DNS-Server zur kostenfreien Nutzung bereit und finanziert sich mit zusätzlichen Premium Features. Die Server stehen in Westeuropa.- AdGuard DNS-Server mit Werbe- und Trackingfilter:
- IPv4: 94.140.14.14
IPv6: 2a10:50c0::ad1:ff - IPv4: 94.140.15.15
IPv6: 2a10:50c0::ad2:ff - Servername für DNS-over-TLS: dns.adguard-dns.com
Adresse für DNS-over-HTTPS: https://dns.adguard-dns.com/dns-query - für iOS 14+: DoH-Server-Konfiguration (signiert von AdGuard)
- IPv4: 94.140.14.14
- AdGuard DNS-Server ohne Werbe- und Trackingfilter:
- IPv4: 94.140.14.140
IPv6: 2a10:50c0::1:ff - IPv4: 94.140.14.141
IPv6: 2a10:50c0::2:ff - Servername für DNS-over-TLS: unfiltered.adguard-dns.com
Adresse für DNS-over-HTTPS: https://unfiltered.adguard-dns.com/dns-query - für iOS 14+: DoH-Server-Konfiguration (signiert von AdGuard)
- IPv4: 94.140.14.140
Njalla ist ein privacy-fokusierter, schwedischer Domain-, Hosting- und VPN-Provider, der seinen unzensierten DNS-Server kostenlos zur Verfügung stellt:
- Njalla DoT- und DoH-Server (ohne Werbe- und Trackingfilter):
- IPv4: 95.215.19.53
IPv6: 2001:67c:2354:2::53 - Servername für DNS-over-TLS: dns.njal.la
Adresse für DNS-over-HTTPS: https://dns.njal.la/dns-query - für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)
- IPv4: 95.215.19.53
- Mullvad DoT- und DoH-Server mit Werbe- und Trackingfilter:
- IPv4: 194.242.2.3
IPv6: 2a07:e340::3 - Servername für DNS-over-TLS: adblock.dns.mullvad.net
Adresse für DNS-over-HTTPS: https://adblock.dns.mullvad.net/dns-query
- IPv4: 194.242.2.3
- für iOS 14+: DoT-Server-Konfiguration (signiert, von Mullvad)
- IPv4: 194.242.2.4
IPv6: 2a07:e340::4 - Servername für DNS-over-TLS: base.dns.mullvad.net
Adresse für DNS-over-HTTPS: https://base.dns.mullvad.net/dns-query
- IPv4: 194.242.2.5
IPv6: 2a07:e340::5 - >Servername für DNS-over-TLS: extended.dns.mullvad.net
Adresse für DNS-over-HTTPS: https://extended.dns.mullvad.net/dns-query - für iOS 14+: DoT-Server-Konfiguration (signiert, von Mullvad)
- IPv4: 194.242.2.9
IPv6: 2a07:e340::9 - Servername für DNS-over-TLS: all.dns.mullvad.net
Adresse für DNS-over-HTTPS: https://all.dns.mullvad.net/dns-query
- IPv4: 194.242.2.2
IPv6: 2a07:e340::2 - Servername für DNS-over-TLS: dns.mullvad.net
Adresse für DNS-over-HTTPS: https://dns.mullvad.net/dns-query
DNS-Server der Big Player der IT Branche (weniger empfehlenswert)
Es gibt einige DNS-Dienste von den Big Playern der IT-Branche, die damit werben, die länderspezifische Zensur von Zugangsprovider zu umgehen, wie es in der Türkei u.a. üblich ist. Ein paar kleine Kommentare zu diesen Angeboten:Der Klassiker ist Google DNS. Google verspricht, dass die DNS-Server unter den IP-Adressen 8.8.8.8 und 8.8.4.4 nicht zensiert werden und bemüht sich um schnelle DNS-Antworten. Dabei gilt die Datensch(m)utz Policy von Google.
Natürlich werden alle Anfragen gespeichert und ausgewertet. Ziel ist, die besuchten Webdienste zu erfassen und in das Monitoring des Web besser einzubeziehen. Positiv an dieser Initiative ist, dass es sich kaum jemand leisten kann, die Wirtschaftsmacht Google zu blockieren. Damit wird auch die Sperrung alternativer DNS-Server, wie es in Deutschland im Rahmen des ZugErschwG geplant war, etwas erschwert.
- Quad9 mit dem Hauptsitz in der Schweiz ist technisch mit Google-DNS vergleichbar. Unter einheitlichen IP-Adressen stehen 100-200 DNS-Server weltweit zur Verfügung:
Primary DNS: IPv4: 9.9.9.9 IPv6: 2620:fe::fe dns.quad9.net Secondary DNS: IPv4: 149.112.112.112 IPv6: 2620:fe::9 dns.quad9.net für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb) Das Projekt verfolgt aber andere Ziele. Quad9 ist für die Anforderungen von Unternehmen optimiert. Im Vordergrund steht IT-Sicherheit. Durch die Verwendung von zeitnah aktualisierten Blocklisten sollen die Auswirkungen von Malware- und Phishing Kampagnen minimiert werden. Ein (temporäres) Overblocking ist nicht gewünscht, wird aber zugunsten der Sicherheit von Quad9 nicht ausgeschlossen.
Dafür arbeitet Quad9 mit 18+ Cyber Threat Intelligence Providern zusammen. Deren Erkenntnisse über Cyber-Angriffe werden gesammelt, um die Abwehr von kriminellen Angriffen und Wirtschaftsspionage auf DNS-Ebene zu konsolidieren. Im Gegenzug erhalten die Threat Intelligence Provider Zugriff auf den (anonymisierten) DNS-Traffic bei einem Angriff, um die Analyse zu beschleunigen.
Die Anforderungen privater Anwender an Privatsphäre und Zensurfreiheit spielen nur eine untergeordnete Rolle. Trotzdem sind auch private Anwender eingeladen, den Dienst zu nutzen. DNSSEC ist Standard, außerdem sind DNS-over-TLS, DNS-over-HTTPS und DNScrypt mit diesen Servern nutzbar. Quad9 kann man verwenden.
-
Am 01. April 2018 hat Cloudflare einen ähnlichen DNS Dienst gestartet wie Google DNS oder Quad9. Unter der IP-Adresse 1.1.1.1 stehen in 31 Datacentern schnelle DNS-Server bereit, die bei Geschwindigkeit Google DNS und Quad9 übertreffen.
Privacy ist ein wichtiges Verkaufsargument und deshalb schwört auch Cloudflare, die Privatsphäre der Nutzer zu respektieren. Das Privacy Statement klingt sehr überspezifisch: Man wird keine Daten verkaufen, die IP-Adressen der Nutzer nicht auf die Festplatte schreiben und Logdaten max. 24h behalten. Cloudflare wird aber auswerten, welche Domains gesucht wurden und darauf aufbauend Analysen durchführen, die viel Geld wert sind, wenn große Mengen an Daten einfließen, die für die weltweite Internetnutzung repräsentativ sind.
Cloudflare behauptet nicht, dass der DNS Service zensurfrei ist. Im Blog Artikel wird zwar darauf hingewiesen, dass man mit den DNS-Servern 1.1.1.1 die länderspezifischen Sperren der Zugangsprovider umgehen kann (Beispiel: Türkei), aber man kann davon ausgehen, das Cloudflare die Anforderungen der US-Administration umsetzten wird.
DNSSEC ist Standard, außerdem gibt es DNS-over-TLS und DNS-over-HTTPS.
- NextDNS erfordert eine Registrierung für die Nutzung und vergibt dabei für jeden Nutzer eine individuelle ID, die bei jedem DNS-Request an NextDNS gesendet wird. Alternativ ist IP Linking via DynDNS möglich, so dass NextDNS immer die IP Adresse des Nutzers kennt.
In beiden Fällen kann der NextDNS die DNS Abfragen einem Account zuordnen und somit das Nutzungsverhalten dieses Accounts im Internet verfolgen. Muss man nicht haben wollen.