Skip to content

DNS-Verschlüsselung (DoT / DoH)

DNS-over-TLS (DoT) und DNS-over-HTTPS (DoH) sind Protokolle zur Verschlüsselung von DNS-Anfragen. Sie dienen dazu, die Privatsphäre zu schützen und die Sicherheit zu erhöhen, indem sie das Mitlesen oder Manipulieren von DNS-Daten durch Dritte verhindern.

Konfiguration unter Linux mit systemd-resolved

Auf modernen Linux-Distributionen kann systemd-resolved verwendet werden, um verschlüsselte DNS-Anfragen via DoT zu realisieren.

1. Status von systemd-resolved prüfen

Stellen Sie zunächst sicher, dass der Dienst aktiv ist:

systemctl is-active systemd-resolved
Die Ausgabe sollte active lauten.

2. Konfigurationsdatei anpassen

Die Konfiguration erfolgt in der Datei /etc/systemd/resolved.conf.

Öffnen Sie die Datei mit Root-Rechten (z. B. sudo nano /etc/systemd/resolved.conf) und ergänzen oder ändern Sie den Abschnitt [Resolve] wie folgt:

[Resolve]
DNS=134.147.222.4#ns2.ruhr-uni-bochum.de 2a05:3e00:9:1001::222:4#ns2.ruhr-uni-bochum.de
FallbackDNS=134.147.32.40#ns1.ruhr-uni-bochum.de 2a05:3e00:1:1003::32:40#ns1.ruhr-uni-bochum.de
DNSOverTLS=yes
Domains=ruhr-uni-bochum.de ~.
Cache=no-negative
DNSSEC=yes

3. Dienst neustarten

Starten Sie den Dienst neu, um die neue Konfiguration zu laden:

sudo systemctl restart systemd-resolved

4. DNS-Auflösung verifizieren

Prüfen Sie mit resolvectl, ob die Anfragen korrekt und verschlüsselt aufgelöst werden:

resolvectl query www.rub.de

Achten Sie in der Ausgabe auf die folgende Bestätigung:

Data is authenticated: yes; Data was acquired via local or encrypted transport: yes

Windows

Unter Windows 11 (und neueren Windows 10 Versionen) kann DNS-over-HTTPS (DoH) direkt über die PowerShell konfiguriert werden.

Konfiguration via PowerShell

Um die DoH-Server der Ruhr-Universität Bochum zu registrieren, führen Sie die folgenden Befehle in einer PowerShell mit Administratorrechten aus:

# Registrierung der IPv6 DoH-Server
Add-DnsClientDohServerAddress -ServerAddress 2a05:3e00:1:1003::32:40 -DohTemplate 'https://ns1.ruhr-uni-bochum.de/dns-query'
Add-DnsClientDohServerAddress -ServerAddress 2a05:3e00:9:1001::222:4 -DohTemplate 'https://ns2.ruhr-uni-bochum.de/dns-query'

# Registrierung der IPv4 DoH-Server
Add-DnsClientDohServerAddress -ServerAddress 134.147.222.4 -DohTemplate 'https://ns2.ruhr-uni-bochum.de/dns-query'
Add-DnsClientDohServerAddress -ServerAddress 134.147.32.40 -DohTemplate 'https://ns1.ruhr-uni-bochum.de/dns-query'

Nachdem die Server registriert wurden, können sie in den Netzwerkeinstellungen unter Einstellungen > Netzwerk und Internet > Ethernet/WLAN als DNS-Server eingetragen werden. Stellen Sie dort sicher, dass bei den DNS-Einstellungen die Option "Verschlüsselung bevorzugen" oder "Verschlüsselung erforderlich" gewählt ist.

Android

Seit Android 9 (Pie) unterstützt das Betriebssystem nativ DNS-over-TLS unter dem Namen Privates DNS.

Konfiguration

  1. Öffnen Sie die Einstellungen.
  2. Navigieren Sie zu Verbindung & Teilen (oder Netzwerk & Internet > Erweitert).
  3. Tippen Sie auf Privates DNS.
  4. Wählen Sie die Option Hostname des privaten DNS-Anbieters.
  5. Geben Sie den Hostnamen eines unterstützten DNS-Servers ein, zum Beispiel:
  6. ns.ruhr-uni-bochum.de
  7. Tippen Sie auf Speichern.

Sobald die Verbindung hergestellt ist, werden alle DNS-Anfragen Ihres Geräts verschlüsselt übertragen.