Klickt man auf dem iPhone seit iOS 15 in den WLAN-Einstellungen mit der Datenschutzwarnung rechts auf den Informationsbutton, blendet sich eine Erklärung ein: „Dieses Netzwerk blockiert verschlüsselten DNS-Verkehr“. Und zusätzlich wird gewarnt, dass andere Geräte im Netzwerk die Namen von Websites und Servern überwachen und erfassen können. Was hinter dieser Warnung steckt, gibt Apple aber nicht preis, sodass man als Normalnutzer erstmal im Regen steht und nicht weiß, was man damit anfangen soll. Es könnte damit zusammenhängen, dass macOS Big Sur und iOS/iPadOS 14 und alle neueren Systeme den verschlüsselten DNS-Verkehr unterstützen und nun standardmäßig überprüft wird, ob dieser aktiviert ist. Oder Apple wirbt so für iCloud Private Relay, das ebenfalls den verschlüsselten DNS-Verkehr unterstützt. Sorgen machen muss man sich aber nicht, denn die Warnung weist nur auf einen Zustand hin, der bisher die Regel war, denn DNS-Anfragen sind bisher immer unverschlüsselt gesendet worden. Um die Warnmeldung zu deaktivieren, kann man das WLAN vergessen und sich dann erneut anmelden. Oder man sorgt selbst für verschlüsselte DNS-Anfragen.
©Thomas Armbrüster
DNS-Anfragen verschlüsseln
Websites sind über ihre jeweilige IP-Adresse zu erreichen. Da es aber kaum möglich ist, sich solche Adressen zu merken, sondern es wesentlich einfacher ist, den Namen einer Seite wie etwa „macwelt.de“ einzutippen, braucht es eine Instanz, welche die zum Namen gehörige IP-Adresse kennt. Diese Instanz ist das Domain Name System (DNS). Es besteht aus Servern im Netz, die wie in einem Telefonbuch die Namen und die IP-Adressen der Seiten gespeichert haben. Tippt man im Browser den Namen der Webseite ein und schickt die Anfrage los, geht diese zu einem DNS-Server, der dann die dazugehörige IP-Adresse heraussucht.
Die Übertragung der Anfragen zum DNS-Server erfolgte bisher im Klartext über das UDP-Protokoll. So wäre es möglich, dass jemand, der Zugriff auf das WLAN hat oder den Netzverkehr abfängt, sehen kann, welche Webseiten man aufrufen möchte, und könnte im schlimmsten Fall manipulierte DNS-Infos zurücksenden, damit der Anwender auf einer Webseite mit Schadsoftware landet (DNS Hijacking). Um das zu verhindern, gibt es momentan zwei Verschlüsselungsmethoden für die DNS-Anfragen. Bei DNS over TLS (DoT) wird die Anfrage mit dem Verschlüsselungsprotokoll Transport Layer Security (TLS) verschlüsselt. Bei DNS over HTTPS (DoH) werden die Anfragen über das verschlüsselte Transportprotokoll HTTPS versendet. Der Vorteil gegenüber DoT ist, dass nicht festgestellt werden kann, ob es sich um eine DNS-Anfrage oder um normalen, verschlüsselten Verkehr über HTTPS handelt. Der Nachteil liegt darin, dass DoH meist etwas langsamer arbeitet als DoT und Netzwerkadministratoren den Netzverkehr nicht mehr genau analysieren können.
©Thomas Armbrüster
DNS-Server mit Verschlüsselung
Um verschlüsselten DNS-Anfragen zu verwenden, braucht es DNS-Server, die sich auf DoT und/oder DoH verstehen. Im Normalfall verwendet man automatisch die DNS-Services des jeweiligen Internet-Providers, also beispielsweise der Telekom oder von Vodafone. Und diese unterstützen die verschlüsselten Verfahren bisher nicht. Man kann aber andere DNS-Server verwenden, und trägt diese entweder im Router ein oder konfiguriert macOS und iOS mithilfe eines Profils. Ab macOS Big Sur und iOS/iPadOS 14 werden DoT und DoH unterstützt, und in der Frizbox kann man DoT ab Softwareversion 7.20 einrichten.
Zu den bekanntesten Anbietern, die zurzeit DNS-Services mit DoT und DoH anbieten, gehören Cloudflare, Google und Quad9. Über Google muss man nichts weiter sagen, jeder kennt den Anbieter. Cloudflare ist ein amerikanisches Unternehmen, das sowohl ein Content Delivery Network als auch ein Netzwerk von DNS-Servern unterhält und darüber hinaus Services anbietet, um sich beispielsweise gegen DDoS-Angriffe (Distributed-Denial-of-Service) zu schützen. Quad9 ist eine Non-Profit-Stiftung mit Sitz in der Schweiz, die ein DNS-Servernetz unterhält und von IBM, Packet Clearing House und der Global Cyber Alliance gegründet wurde.
Für die Konfiguration benötigt man die IPv4- und IPv6-Adressen sowie den Hostnamen des jeweiligen Anbieters. Mit diesen Angaben kann man dann die Fritzbox konfigurieren oder ein Profil für macOS und iOS erstellen und auf dem Gerät aktivieren. Eines sollte man aber wissen: Die verschlüsselte Übertragung der DNS-Anfragen bedeutet nicht, dass die Anfragen dann auf dem DNS-Server verschlüsselt sind. Der DNS-Server sieht die IP-Adresse des Nutzers, wobei Quad9 diese laut seinen Datenschutzrichtlinien nicht speichert.
Einstellungen der DNS-Server mit Verschlüsselung
Cloudflare:
IPv4: 1.1.1.1 und 1.0.0.1
IPv6: 2606:4700:4700::1111 und 2606:4700:4700::1001
Hostname: cloudflare-dns.com
Google:
IPv4: 8.8.8.8 und 8.8.4.4
IPv6: 2001:4860:4860::8888 und 2001:4860:4860::8844
Hostname: dns.google
Quad9:
IPv4: 9.9.9.9 und 149.112.112.112
IPv6: 2620:fe::fe und 2620:fe::9
Hostname: dns.quad9.net
Fritzbox einrichten
Man meldet sich bei der Fritzbox an und öffnet „Internet > Zugangsdaten > DNS-Server“. Dort aktiviert man „Andere DNSv4-Server verwenden“ und „Andere DNSv6-Server verwenden“ und trägt jeweils die IP-Adressen ein.
©Thomas Armbrüster
Dann scrollt man nach unten, aktiviert „Verschlüsselte Namensauflösung im Internet (DNS over TLS)“ und lässt die Zertifikatsprüfung eingeschaltet. Die Option „Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“ sollte man ausschalten, wenn man nicht möchte, dass bei Problemen auch unverschlüsselte DNS-Anfragen gesendet werden. Danach scrollt man weiter nach unten und trägt in das Feld bei „Auflösungsnamen der DNS-Server“ den Hostnamen ein und beendet die Einrichtung mit einem Klick auf „Übernehmen“.
©Thomas Armbrüster
Um zu prüfen, ob die Einstellungen übernommen worden sind, geht man zu „Internet > Online-Monitor“ und sieht dort unter „Genutzte DNS-Server“, ob die verschlüsselten Verbindungen aktiviert sind. Auf unserem iPhone wird diese Änderung aber nicht erkannt und es erscheint erneut die Anfangs beschriebene Datenschutzwarnung.
©Thomas Armbrüster
Profil für Mac und iPhone erstellen
Um die verschlüsselte DNS-Anfrage auf dem Mac, dem iPhone und dem iPad zu aktivieren, benötigt man ein Profil. Das Profil lässt sich auf allen Geräten verwenden. Voraussetzung sind iOS/iPadOS 14 und macOS Big Sur oder neuer. Ein Profil lässt sich selbst mithilfe der Webseite „Secure DNS profile creator“ erstellen, am besten macht man das auf dem Mac. Auf der Webseite klickt man auf „Tool“ und trägt in die Felder den Namen des Anbieters, die IP-Adressen sowie den Hostnamen des Anbieters ein und klickt an, welches Verschlüsselungsverfahren (DoT oder DoH) verwendet werden soll.
©Thomas Armbrüster
Danach klickt man auf „Ad to Profile“. Es öffnet sich die Seite „Finalize“ mit einer Übersicht der Angaben, und mit einem Klick auf „Download Profile“ überträgt man es auf den Mac. Soll das Profil auch auf einem iPhone und einem iPad verwendet werden, klickt man im sich einblendenden Dialogfenster auf „Datei speichern“.
©Thomas Armbrüster
Profil auf dem Mac installieren
Mit einem Doppelklick auf die Profildatei mit der Dateiendung „.moblieconfig“ öffnet sich eine Mitteilung mit dem Hinweis, dass man es in den Systemeinstellungen überprüfen und installieren soll.
©Thomas Armbrüster
Dazu öffnet man die Systemeinstellung „Profile“, markiert das Profil und klickt auf „Installieren“. Im sich nun öffnenden Dialogfenster muss man die Installation nochmals bestätigen.
©Thomas Armbrüster
Nicht stören darf man sich daran, dass in der Systemeinstellung das Profil als „Nicht signiert“ bezeichnet wird, denn man hat es ja selbst erstellt. Um das Profil wieder zu entfernen, markiert man es und klickt auf das Minussymbol.
Profil auf dem iPhone installieren
Man kann auf dem iPhone oder dem iPad das Profil auch direkt auf der Seite von Profile Creator erstellen und herunterladen. Hat man es aber schon auf dem Mac erstellt, markiert man es dort, wählt im Kontextmenü „Teilen“ aus und überträgt es per Airdrop auf das mobile Gerät. Auf dem iPhone oder iPad erscheint nun die Mitteilung „Profil geladen“, die man schließt.
©Thomas Armbrüster
Dann öffnet man die Einstellungen, dort wird oben ein neuer Eintrag „Profil geladen“ angezeigt, den man antippt. Im sich einblendenden Fenster tippt man rechts oben auf „Installieren“ und gibt den Gerätecode ein.
©Thomas Armbrüster
Nun bekommt man noch einen Warnhinweis, dass das Profil nicht signiert ist und dass der DNS-Server den DNS-Verkehr überwacht. Wie schon gesagt, nur die Übertragung zum Server wird verschlüsselt, der Server sieht aber die IP-Adressen der DNS-Anfragen. Nun tippt man nochmals auf „Installieren“, bestätigt die Installation und schließt den Vorgang mit einem Tipp auf „Fertig“ ab.
©Thomas Armbrüster
Das Profil ist dann unter „VPN, DNS und Geräteverwaltung“ unter „Konfigurationsprofile“ in der Einstellung „Allgemein“ zu finden. Hier lässt es sich auch wieder entfernen.
©Thomas Armbrüster
iCloud Private Relay
Seit macOS Monterey und iOS/iPadOS 15 bietet Apple iCloud Private Relay an. Dieser Dienst, momentan noch im Betastadium, erfordert ein kostenpflichtiges iCloud+-Abo. iCloud Private Relay ist ein neues Verfahren für das Surfen im Internet, bei dem die Anfragen zuerst verschlüsselt an einen Server von Apple gesendet werden. Dieser sieht zwar die IP-Adresse des Senders, nicht aber den verschlüsselten Inhalt der Anfrage. Der Server von Apple entfernt die IP-Adresse und ersetzt diese durch eine generalisierte IP-Adresse, die entweder nur Informationen über das Land und die Zeitzone enthält oder Angaben über den ungefähren Standort. Die Anfragen werden dann an einen anderen Server weitergeleitet, der nicht von Apple betrieben wird.
Dieser Server bekommt also unspezifische IP-Adressen, entschlüsselt die verschlüsselte Anfrage und verbindet dann zur angeforderten Webseite. Für die Verschlüsselung der Anfrage wird der öffentliche Schlüssel des zweiten Servers verwendet, der dann den Inhalt mit seinem privaten Schlüssel entschlüsseln kann.
Der Dienst umfasst auch verschlüsselte DNS-Anfragen, für die der unter anderem von Apple und Cloudflare vorgeschlagene neue Standard Oblivious DNS over HTTPS (ODoH) verwendet wird. Dabei wird die Übertragung ebenfalls verschlüsselt und die IP-Adresse des Benutzers nicht übermittelt.
Zwei Nachteile hat iCloud Private Relay jedoch: Zum einen wird nur Safari unterstützt, man ist also noch mehr in das Apple-Universum eingeschlossen als sonst, und zum anderen muss man dafür bezahlen.
Autor: Thomas Armbrüster, Autor
Thomas Armbrüster schreibt seit 1993 für die Macwelt.