Die meisten DNS-Server der Zugangsprovider verwenden kein DNSSEC zur Validierung. Das könnte ein Grund (Sicherheit) für einen anderen, selbst ausgewählten DNS-Server sein.
Einige deutsche Kabelnetzprovider betreiben keine eigenen DNS-Server mehr sondern schicken ihre Kunden einfach zu Google-DNS (8.8.8.8) oder Cloudflare (1.1.1.1). Wenn man mit der Datensch(m)utz Policy der Default DNS-Server der Provider nicht einverstanden ist, muss man sich auch selbst kümmern und die DNS-Server auf dem Router anpassen.
Das Sammeln, Auswerten und Verkaufen von DNS Daten der Kunden durch den Zugangsprovider ist in angelsächsischen Ländern üblich (USA, GB) aber in Deutschland nicht.
Zensur durch manipulierte DNS-Server spielte nach der Abwehr des ZugErschwG zeitweise keine Rolle in Deutschland , wurde 2022 von der EU unter Führung von Ursula v.d.L. zur moralischen Reinhaltung und Abwehr russischer Propaganda aber wieder eingeführt (beispw. bei Telekom und T-Mobile). Wer sich bei FEINDSENDERN informieren will, braucht unzensierte DNS-Server.
Die Nachdenkseiten berichteten im Dez. 2022, dass sie bei einigen Zugangsprovider zeitweise gesperrt wurden, unter Hinweis auf das Zensurverodnung der EU. Wenn man nicht eines Tages feststellen möchte, dass interessante Seiten im Netz nicht mehr erreichbar sind, sollte man rechtzeitig über unzensierte DNS Alternativen nachdenken. Die Bemühungen zur Einführung von mehr Zensur werden auch in der EU stärker - das ist 2022 kein Alleinstellungsmerkmal von Diktaturen.
Hinweis: Eine Trackingdienst könnte ermittlen, welcher DNS-Server vom Browser verwendet wird, und diese Information als Parameter für das Fingerprinting des Browser verwenden:
Es gibt bisher noch keine empirischen Studien, die untersucht haben, ob dieses Verfahren "in the wild" genutzt wird. Aber es ist prinzipiell möglich. Deshalb sollte man kurz nachdenken, ob es Gründe gibt, einen selbst ausgewählten DNS-Server zu nutzen, ob der Vorteil an Sicherheit und Schutz gegen Zensur evtl. unerwünschte Nebeneffekte kompensiert.
Beim Filtern von Tracking und Malware Domains ist die Grenze zur Zensur schmal und hängt davon ab, welche Filterlisten eingebunden werden. Die Fake News Blackliste von StevenBlack, enthält beispielsweise 56.000+ Einträge, die von irgendwem irgendwie als "Fake News" deklariert wurden.
Unabhängig von den Diskussionen um "Fake News", die wesentlich vom politischen Weltbild des Betrachters abhängt, ist die Sperrung von Informationen Zensur. Und ein unzensierter Zugang zu Informationen ist ein wichtiger Grund für die Konfiguration eigener DNS-Server. Bei DNS Servern mit Filterung muss man prüfen, welche Blocklisten verwendet werden.
Njalla ist ein privacy-fokusierter, schwedischer Domain-, Hosting- und VPN-Provider, der seinen unzensierten DNS-Server kostenlos zur Verfügung stellt:
Der Klassiker ist Google DNS. Google verspricht, dass die DNS-Server unter den IP-Adressen 8.8.8.8 und 8.8.4.4 nicht zensiert werden und bemüht sich um schnelle DNS-Antworten. Dabei gilt die Datensch(m)utz Policy von Google.
Natürlich werden alle Anfragen gespeichert und ausgewertet. Ziel ist, die besuchten Webdienste zu erfassen und in das Monitoring des Web besser einzubeziehen. Positiv an dieser Initiative ist, dass es sich kaum jemand leisten kann, die Wirtschaftsmacht Google zu blockieren. Damit wird auch die Sperrung alternativer DNS-Server, wie es in Deutschland im Rahmen des ZugErschwG geplant war, etwas erschwert.
Primary DNS: | IPv4: 9.9.9.9 | IPv6: 2620:fe::fe | dns.quad9.net |
Secondary DNS: | IPv4: 149.112.112.112 | IPv6: 2620:fe::9 | dns.quad9.net |
für iOS 14+: | DoT-Server-Konfiguration | (unsigniert, vom PrHdb) |
Das Projekt verfolgt aber andere Ziele. Quad9 ist für die Anforderungen von Unternehmen optimiert. Im Vordergrund steht IT-Sicherheit. Durch die Verwendung von zeitnah aktualisierten Blocklisten sollen die Auswirkungen von Malware- und Phishing Kampagnen minimiert werden. Ein (temporäres) Overblocking ist nicht gewünscht, wird aber zugunsten der Sicherheit von Quad9 nicht ausgeschlossen.
Dafür arbeitet Quad9 mit 18+ Cyber Threat Intelligence Providern zusammen. Deren Erkenntnisse über Cyber-Angriffe werden gesammelt, um die Abwehr von kriminellen Angriffen und Wirtschaftsspionage auf DNS-Ebene zu konsolidieren. Im Gegenzug erhalten die Threat Intelligence Provider Zugriff auf den (anonymisierten) DNS-Traffic bei einem Angriff, um die Analyse zu beschleunigen.
Die Anforderungen privater Anwender an Privatsphäre und Zensurfreiheit spielen nur eine untergeordnete Rolle. Trotzdem sind auch private Anwender eingeladen, den Dienst zu nutzen. DNSSEC ist Standard, außerdem sind DNS-over-TLS, DNS-over-HTTPS und DNScrypt mit diesen Servern nutzbar. Quad9 kann man verwenden.
Am 01. April 2018 hat Cloudflare einen ähnlichen DNS Dienst gestartet wie Google DNS oder Quad9. Unter der IP-Adresse 1.1.1.1 stehen in 31 Datacentern schnelle DNS-Server bereit, die bei Geschwindigkeit Google DNS und Quad9 übertreffen.
Privacy ist ein wichtiges Verkaufsargument und deshalb schwört auch Cloudflare, die Privatsphäre der Nutzer zu respektieren. Das Privacy Statement klingt sehr überspezifisch: Man wird keine Daten verkaufen, die IP-Adressen der Nutzer nicht auf die Festplatte schreiben und Logdaten max. 24h behalten. Cloudflare wird aber auswerten, welche Domains gesucht wurden und darauf aufbauend Analysen durchführen, die viel Geld wert sind, wenn große Mengen an Daten einfließen, die für die weltweite Internetnutzung repräsentativ sind.
Cloudflare behauptet nicht, dass der DNS Service zensurfrei ist. Im Blog Artikel wird zwar darauf hingewiesen, dass man mit den DNS-Servern 1.1.1.1 die länderspezifischen Sperren der Zugangsprovider umgehen kann (Beispiel: Türkei), aber man kann davon ausgehen, das Cloudflare die Anforderungen der US-Administration umsetzten wird.
DNSSEC ist Standard, außerdem gibt es DNS-over-TLS und DNS-over-HTTPS.