IPv8: Ich mache mir das Internet, wie es mir gefällt

Wenn IPv4 als Initialzündung des modernen Internets gelten kann, dann ist IPv6 die seit Jahrzehnten geplante und inzwischen vielerorts gelebte Zukunft des Netzes.

Ein IETF-Entwurf (Draft) von Jamie Thain aus Bermuda will IPv6 überflüssig machen, das Internet neu erfinden und zu einhundert Prozent rückwärtskompatibel sein. Der Entwurf mit dem provokanten Namen Internet Protocol Version 8 wurde im April 2026 eingereicht und erhitzt seitdem die Gemüter.

Nicht, weil er als realistischer Nachfolger für IPv6 gilt, sondern weil viele Netzwerkexperten ihn als technisch fragwürdigen Alleingang mit Hang zum Größenwahn betrachten.

Er demonstriert, wie sehr der offene Einreichungsprozess der IETF zugleich Stärke und Schwäche ist. Jeder darf mitreden, doch am Ende trennt sich die Spreu vom Weizen. Der Vorfall trifft einen wunden Punkt. Nach 25 Jahren schleppender IPv6-Migration, steigendem geopolitischem Druck rund um Huaweis New IP und einer Community, die bei jeder neuen Versionsnummer reflexartig zuckt, entfaltet selbst ein aussichtsloser Einzelvorschlag erstaunliche Wirkung.

Das neue Internet

Im Entwurf sollen drei grundlegende Probleme des heutigen Internets gleichzeitig gelöst werden.

Das erste Problem ist der Mangel an IPv4-Adressen, den der Entwurf beheben möchte. Die vierte Version des Internet Protocols verwendet 32-Bit-Adressen und kann dadurch rund 4,3 Milliarden eindeutige Adressen bereitstellen. Diese Anzahl ist angesichts von Milliarden Smartphones, Servern, IoT-Geräten und Heimroutern nicht mehr ausreichend. Deshalb werden seit Jahren Techniken wie Network Address Translation (NAT) eingesetzt, bei denen sich viele Geräte eine einzige öffentliche IP-Adresse teilen.

Zweitens will der Entwurf die verteilte und uneinheitliche Netzwerkverwaltung beseitigen. Gemeint ist damit, dass Netzwerke heute über viele unterschiedliche Protokolle, Werkzeuge und Verwaltungsoberflächen konfiguriert und überwacht werden. Für Administratoren bedeutet das einen hohen Aufwand, da es keinen einheitlichen Mechanismus gibt, um alle Komponenten zentral zu steuern.

Drittens soll das unbegrenzte Wachstum der globalen BGP-Tabelle gestoppt werden. Das Border Gateway Protocol (BGP), ist das Routing-Protokoll, das festlegt, über welche Wege Datenpakete durch das Internet transportiert werden. Jeder Internetanbieter kündigt dabei an, für welche IP-Adressbereiche er erreichbar ist. Diese Informationen werden weltweit gesammelt. Die daraus entstehende Routing-Tabelle umfasst inzwischen weit über eine Million Einträge und wächst kontinuierlich weiter. Das stellt hohe Anforderungen an Speicher und Rechenleistung der Router im Internet-Backbone.

Der Entwurf behauptet, dass IPv6 auch nach 25 Jahren nur einen Minderheitsanteil des weltweiten Internetverkehrs erreiche und der parallele Betrieb von IPv4 und IPv6 wirtschaftlich nicht tragbar sei.

Aus dieser Analyse zieht der Autor den Schluss, dass nicht eine Vereinfachung, sondern ein noch umfassenderer Neuansatz erforderlich sei; gebündelt unter der bewusst provokanten Bezeichnung IPv8, einer Versionsnummer, die bereits in den 1990er Jahren mit dem PIP-Vorschlag verbunden war.

Der Entwurf im IETF-Datatracker

Begleitet wird der Kern-Entwurf zumindest dem Anspruch nach von einem ganzen Paralleluniversum aus BGP8, OSPF8, IS-IS8, WHOIS8, NetLog8, WiFi8 und SNMPv8. Im Hauptdokument werden diese Begleit-Spezifikationen zwar aufgelistet, die angegebenen Drafts sind jedoch nicht bei der IETF hinterlegt. Was wie ein kompletter Protokoll-Stack wirkt, ist offenbar vorwiegend eine Verweiskulisse.

Wer ist Jamie Thain?

Öffentlich taucht Thain bereits 2004 auf, damals als CTO des bermudianischen Internetproviders Transact im Kontext des Sasser-Wurms. In den folgenden Jahren arbeitete er laut Unternehmensprofilen als Technologiearchitekt im Telekommunikationsumfeld und war unter anderem an der Planung von 4G-LTE-Netzen, FTTH-Infrastrukturen und Unterseekabelsystemen beteiligt.

Später war Thain CTO bei Bluewave Bermuda, einem lokalen WISP- und ISP-Betreiber. Gemeinsam mit Jack Benaim gründete er anschließend den Bermuda-Inkubator InnoFund. InnoFund betrieb zusammen mit dem Inkubator DMZ den Startup-Accelerator i3 powered by DMZ. Daneben existiert auch BPMS Ltd, eine weitere von Thain mitbegründete Firma. Als aktuelle Zugehörigkeit führt der IPv8-Draft One Limited auf.

Doch welche Motivation steckte hinter dem Draft? Thain wollte ursprünglich keine neue Version des Internet-Protokolls entwickeln, sondern eine schlüsselfertige Komplettlösung für den Betrieb eines Netzwerks erstellen. Weil ihm IPv6 für dieses Vorhaben zu komplex erschien, entwickelte er während eines krankheitsbedingten Ausfalls mithilfe von KI innerhalb von fünf Tagen einen Vorschlag für einen neuen Protokoll-Stack.

IPv4 mit Vorwahl

Thains Kernidee ist überraschend konservativ. Statt IPv6 mit seinen 128-Bit-Adressen und neuem Header abzulösen, erweitert IPv8 den klassischen IPv4-Header um acht zusätzliche Oktette.

Architektonisch sieht der Entwurf einen 64-Bit-Adressraum vor, der wie folgt aufgebaut ist:

r.r.r.r.n.n.n.n

Die ersten 32 Bit codieren hierbei laut Spezifikation direkt eine 32-Bit-ASN. Eine Autonomous System-Nummer (ASN) ist die eindeutige Kennung eines Netzbetreibers oder einer Organisation im globalen Routing.

Große Provider wie die Deutsche Telekom, Cloudflare oder Google besitzen jeweils eine oder mehrere ASNs. Jede Organisation mit einer ASN erhält damit jeweils einen eigenen IPv4-Adressraum mit knapp 4,3 Milliarden Hostadressen. Im Entwurf stellt sich dies beispielhaft wie folgt dar:

64496.192.0.2.1  = 0.0.251.240.192.0.2.1
64497.192.0.2.1  = 0.0.251.241.192.0.2.1

Im Kern handelt es sich damit um eine Rückkehr zu einer frühen 64-Bit-Adressidee, die Steve Deering in der Vorgeschichte von IPv6 verfolgte, mit dem Unterschied, dass Thain die obere Hälfte des Adressraums fest an ASNs bindet.

Die zentrale Verkaufsbotschaft des Entwurfs lautet, dass IPv4 eine Teilmenge von IPv8 sei. Gemeint ist damit, wenn die ersten vier Oktette einer IPv8-Adresse auf 0.0.0.0 gesetzt werden, soll die Adresse wie eine ganz normale IPv4-Adresse behandelt werden.

Aus dieser Konstruktion leitet der Autor die weitreichende Behauptung ab, dass bestehende Geräte, Anwendungen und Netzwerke nicht verändert werden müssen, um an einem IPv8-Netz teilzunehmen. Der Übergang könne schrittweise erfolgen, ohne Stichtag und ohne erzwungene Migration. Der Entwurf fasst das selbstbewusst zusammen:

No existing device, application, or network requires modification. The suite is 100% backward compatible. There is no flag day and no forced migration at any layer.

Diese Behauptung kollabiert spätestens im Abschnitt über das Header-Format:

IPv8 uses IP version number 8 in the Version field. The header extends IPv4 by replacing the 32-bit src/dst address fields with 64-bit equivalents.

Bestehende IPv4-Stacks und Router würden Pakete mit der Versionsnummer 8 aber in aller Regel verwerfen.

Zone Server

Das eigentliche Kern des Entwurfs verbirgt sich nicht in der Adressmathematik, sondern im Abschnitt mit dem Namen IPv8 Management Philosophy.

Zentrales Element der Architektur ist der sogenannte Zone Server. Dabei handelt es sich um ein redundant ausgelegtes Serverpaar, bei dem beide Systeme gleichzeitig aktiv sind und gemeinsam eine Vielzahl bislang getrennter Dienste in einer einzigen Infrastruktur bündeln.

Im IPv8-Entwurf übernehmen diese Zone Server gemeinsam DHCP, DNS, Authentifizierung, Logging und Routenvalidierung. Fällt einer aus, bleibt der andere ohne Umschaltung weiter in Betrieb. Der Entwurf verlangt genau zwei sogenannte Zone Server pro Subnetz.

Dabei sollen die ebenfalls neuen Protokolle wie DHCP8, DNS8, NTP8, NetLog8, OAuth8, WHOIS8, ACL8 und XLATE8 auf diesen Systemen laufen. Jeder Endpunkt erhält bereits mit einer einzigen DHCP8-Discover-Antwort sämtliche Informationen über die verfügbaren Dienste.

Vorgeschrieben sind zwei Zone Server pro Subnetz, die auf den Adressen .254 und .253 betrieben werden. Hosts mit geraden Adressen verwenden standardmäßig den einen Server, Hosts mit ungeraden Adressen den anderen.

Komplexität gewünscht

Zusätzlich setzt der Entwurf voraus, dass in jedem Netzwerk ein zentraler Switch als sogenannter PVRST-Root fungiert. Per-VLAN Rapid Spanning Tree (PVRST) ist eine von Cisco Systems entwickelte proprietäre Variante des Spanning-Tree-Protokolls, die Schleifen in Ethernet-Netzen verhindert.

In größeren Ethernet-Netzen existieren oft mehrere redundante Verbindungen zwischen Switches. Ohne Schutzmechanismen könnten dadurch Schleifen entstehen, bei denen Datenpakete endlos im Kreis laufen. Spanning Tree-Protokolle verhindern das, indem sie einen Root-Switch auswählen und anschließend überflüssige Verbindungen deaktivieren.

Bemerkenswert ist, dass der Entwurf eine herstellerspezifische Technologie zur festen Voraussetzung eines globalen Internetprotokolls macht. Ein offener Internetstandard sollte sich nicht auf proprietäre Mechanismen eines einzelnen Herstellers stützen.

Auch das Routing wird vollständig neu organisiert. Vorgesehen sind eBGP8, IBGP8 und OSPF8; IS-IS8 bleibt als unterstützte Option erhalten, während die Protokolle RIP und EIGRP ausdrücklich als veraltet gelten. Über die Grenzen von autonomen Systemen hinweg sollen nur Präfixe bis maximal /16 propagiert werden. Jede Route muss vor ihrer Installation über die neue WHOIS8-Infrastruktur validiert werden, die der Entwurf als globale kritische Infrastruktur versteht. Die weltweite Routingtabelle soll dadurch strukturell auf die Anzahl der autonomen Systeme begrenzt werden.

Zur Pfadbewertung führt der Entwurf den sogenannten Cost Factor ein, einen 32-Bit-Wert, der Round-Trip-Time, Paketverlust, Congestion-Window, Sitzungsstabilität, Linkkapazität, wirtschaftliche Vorgaben und geografischer Entfernung kombiniert. So versucht der Entwurf, technische Messwerte, physikalische Grenzen und sogar wirtschaftliche Interessen in einer einzigen Zahl zu vereinen. Diese Vermischung sehr unterschiedlicher Einflussfaktoren wird von vielen Fachleuten als übermäßig komplex und praktisch kaum umsetzbar angesehen.

Im Bereich Sicherheit verfolgt der Entwurf einen sehr weitreichenden Ansatz. Jede verwaltbare Komponente, vom Endgerät über den Switch bis zum Router, muss sich mithilfe von OAuth2 und JSON Web Tokens eindeutig authentifizieren. Bevor ein Gerät am Netzwerk teilnehmen darf, muss es also nachweisen, dass es dazu berechtigt ist.

Auch ausgehende Verbindungen werden streng kontrolliert. Bevor ein Paket das Netzwerk verlassen darf, muss zunächst ein DNS8-Lookup erfolgreich sein. Erst dann wird ein entsprechender XLATE8-Eintrag angelegt, der die Verbindung überhaupt ermöglicht. Zusätzlich wird überprüft, ob das Zielnetz in der WHOIS8-Infrastruktur als gültig registriert ist. Schlagen diese Prüfungen fehl, wird die Verbindung blockiert.

Die Netzwerkkarten selbst sollen nicht überschreibbare Hardware-Limits durchsetzen, die nur durch explizite Anweisung des Zone Servers angehoben werden können. Konkret sind das maximal zehn Broadcasts pro Sekunde, zehn unauthentifizierte Pakete pro Sekunde und einhundert authentifizierte Pakete pro Sekunde.

Schließlich verlangt der Entwurf eine ganze Reihe offizieller Zuweisungen durch die Internet Assigned Numbers Authority. Die IANA verwaltet weltweit zentrale Nummern- und Adressbereiche des Internets, darunter IP-Versionen, DNS-Recordtypen und spezielle Netzwerkbereiche.

Der Entwurf beantragt zunächst, die Versionsnummer 8 für ein neues Internetprotokoll zu reservieren, obwohl diese Bezeichnung historisch bereits mit PIP verbunden war. Ferner sollen mehrere bekannte IPv4-Adressbereiche für neue Zwecke fest zugewiesen werden: 127.0.0.0/8 als interner Bereich für Zone Server, 100.0.0.0/8 für RINE-Peering und 222.0.0.0/8 für interne Verbindungen.

Zusätzlich fordert der Entwurf einen neuen DNS-Recordtyp mit dem Namen A8, spezielle Reservierungen für ASNs sowie einen eigenen Multicast-Adressbereich. Damit IPv8 funktionieren könnte, müssten zahlreiche zentrale Ressourcen des Internets offiziell neu vergeben und dauerhaft reserviert werden.

Angriff auf das Schichtenmodell

Was der Entwurf als elegante Vereinheitlichung präsentiert, verletzt ein grundlegendes Prinzip des Internets: die Trennung der Protokollschichten. IP arbeitet auf einer sehr niedrigen Ebene und hat im Wesentlichen nur die Aufgabe, Pakete von A nach B zu transportieren.

OAuth2 und JSON Web Tokens gehören dagegen in eine deutlich höhere Schicht, in der sich Anwendungen um Benutzeranmeldung und Zugriffsrechte kümmern. Der IPv8-Entwurf vermischt beide Ebenen und verlangt damit von einfachen Netzwerkgeräten Aufgaben, für die sie weder konzipiert noch ausgelegt sind.

Was IPv8 ignoriert

Bemerkenswert ist nicht nur, was der IPv8-Entwurf vorschlägt, sondern auch, was er komplett ausblendet. Zahlreiche Technologien, die genau die von ihm beschriebenen Probleme bereits heute adressieren, werden mit keinem Wort erwähnt. Dazu gehören moderne Routing-Erweiterungen für IPv6, etablierte Verfahren zur Absicherung von BGP-Routen sowie bewährte Übergangstechniken, mit denen IPv4 und IPv6 seit Jahren parallel betrieben werden.

So ignoriert der Entwurf beispielsweise RPKI und ROA, obwohl diese Mechanismen bereits heute die Herkunft von Routen kryptografisch absichern. Stattdessen entwirft er mit WHOIS8 eine vollkommen neue globale Validierungsinfrastruktur.

Gleiches gilt für NAT64, 464XLAT und andere Techniken, die in Mobilfunknetzen weltweit produktiv eingesetzt werden, um IPv6-only-Infrastrukturen mit IPv4-Diensten zu verbinden.

Selbst grundlegende Bestandteile moderner IPv6-Netze wie SLAAC, Router Advertisements und DHCPv6 werden übergangen und durch neue Eigenentwicklungen wie DHCP8 ersetzt.

Für die Authentifizierung an Switch-Ports schlägt der Entwurf OAuth2 vor, ohne das etablierte Verfahren 802.1X mit EAP-TLS auch nur zu erwähnen. Insgesamt entsteht der Eindruck, dass der Entwurf viele Probleme neu erfindet, ohne bestehende Lösungen oder die Erfahrungen der letzten zwei Jahrzehnte zu berücksichtigen.

Reaktionen

Besonders häufig wird kritisiert, dass der Entwurf bestehende und bereits standardisierte Lösungen ignoriert, gleichzeitig aber eine Vielzahl neuer Protokolle, Dienste und zentraler Kontrollinstanzen einführt.

Viele Kritiker sehen in dem Entwurf daneben ein von Grund auf kontrollorientiertes Protokoll, das sich besonders gut für zentrale Überwachung und Regulierung eignet. Wer den Zone Server, die WHOIS8-Registry oder die zentrale Authentifizierungsinfrastruktur betreibt, erhält letztlich die Kontrolle über das gesamte Netzwerk.

Die versprochene vollständige Rückwärtskompatibilität gilt vielen als nicht glaubwürdig, weil das Paketformat, die Routing-Protokolle und zahlreiche Infrastrukturkomponenten grundlegend verändert werden. Auch die enge Verzahnung von IP mit OAuth2, zentralen Authentifizierungsdiensten und globalen Validierungsinstanzen wird als deutlicher Bruch mit den dezentralen Grundprinzipien des Internets gesehen.

Mehrere Analysen heben hervor, dass der Entwurf reale Probleme wie IPv6-Migrationskosten, BGP-Wachstum und operative Komplexität durchaus korrekt benennt. Die vorgeschlagene Lösung wird jedoch als unverhältnismäßig und praktisch kaum umsetzbar bewertet. Insbesondere die starke Zentralisierung, die Abhängigkeit von neuen kritischen Infrastrukturen und die Vermischung unterschiedlichster Technologien stoßen auf breite Skepsis.

Bemerkenswert ist auch, was ausbleibt. Auf den etablierten Fachforen und Mailinglisten der Internet-Community blieb der Entwurf weitgehend ohne ernsthafte Unterstützung. Prominente Stimmen aus der Routing- und IETF-Welt äußerten sich entweder gar nicht oder nur am Rande. Dieses Schweigen ist in einem Umfeld, in dem tragfähige Ideen normalerweise schnell fachliche Diskussionen auslösen, selbst eine deutliche Form der Einordnung.

Eine kurze Phantomologie

Wer IPv8 sagt, betritt einen Friedhof. Die niedrigen Versionsnummern des Internet Protocols sind seit Jahrzehnten vergeben, verworfen oder Teil der Netzfolklore geworden.

Die Versionen 0 bis 3 stammen aus der Frühzeit des Internets. Sie tauchten in den experimentellen Vorläufern von TCP/IP in den späten 1970er Jahren auf, erreichten aber nie einen produktiven Einsatz. Mit IPv4, spezifiziert in RFC 791 aus dem Jahr 1981, entstand schließlich das Protokoll, das bis heute das Fundament des Internets bildet.

Die Version 5 wurde für ST und ST-II verwendet, ein Streaming-Protokoll mit Reservierungsmechanismen für Echtzeitdaten. IPv6 ging aus Steve Deerings SIPP-Entwurf hervor und wurde Mitte der 1990er Jahre als offizieller Nachfolger von IPv4 standardisiert. IPv7 stand für TP/IX und später CATNIP, zwei alternative Vorschläge, die sich nie durchsetzen konnten.

Besonders relevant für den aktuellen Fall ist die Versionsnummer 8. Sie war bereits in den 1990er Jahren mit PIP von Paul Tsuchiya verbunden, einem der Kandidaten im damaligen Wettbewerb um den IPv4-Nachfolger. Auch wenn diese Zuordnung heute keine praktische Bedeutung mehr hat, ist IPv8 in der Geschichte der IETF keineswegs eine unbeschriebene Zahl.

Die Version 9 ist gleich mehrfach belegt. Dazu gehören TUBA, der berühmte Aprilscherz RFC 1606 und das sogenannte chinesische IPv9, das Anfang der 2000er Jahre als nationale Alternative zu IPv6 propagiert wurde. Selbst IPv10 existiert bereits als individueller Internet-Draft aus dem Jahr 2017, der schlicht argumentierte, dass IPv4 plus IPv6 zusammen eben zehn ergeben.

Thain verwendet damit eine Versionsnummer erneut, ohne auf ihre historische Vorbelegung einzugehen, und behandelt die Version, als stünde sie zur freien Verfügung. Streng genommen ist das nicht falsch: IANA hat die Reservierungen nach dem IPv6-Beschluss bereinigt. Aber die völlige Abwesenheit jeglicher historischen Einordnung im Entwurf ist ein bemerkenswertes Symptom.

Politisch aufgeladen

Dass ein technischer Einzelvorschlag überhaupt derart reflexhaft als zensurfreundlich gelesen wird, hat eine Vorgeschichte. Im September 2019 reichte Huawei, gemeinsam mit China Mobile, China Unicom und dem MIIT, bei der ITU-T einen Vorschlag mit dem Namen New IP ein. Im Rahmen der Focus-Group Network 2030 unter Richard Li präsentierte Huawei variable Adresslängen, semantische Adressen, benutzerdefinierte Header und ein berüchtigtes Shut-up Kommando auf Paketebene.

Die britische Financial Times zitierte anonyme ITU-Delegierte, die von einem enormen Kampf unter der Oberfläche sprachen. Seither ist jeder neue alternative IP-Stack-Vorschlag mit diesem Bezugsrahmen markiert, ob er aus Shenzhen, Shanghai oder eben Bermuda stammt.

Thains Entwurf adressiert keinerlei chinesische Agenda, doch seine zentralen Designentscheidungen wie OAuth2-Authentifizierung pro verwaltbarem Element, WHOIS8-Egress-Validierung jeder ausgehenden Verbindung, Zone-Server als Pflicht-Gateway, NIC-Firmware mit hardwareseitig erzwungenen Paketlimits, treffen exakt die Alarmnerven, die New IP hinterlassen hat.

Die Einschätzung, der Entwurf sei von Grund auf zensurfreundlich, ist kein Zufall, sondern spiegelt die Erfahrungen und Befürchtungen wider, die seit den Debatten um Huaweis New IP die Diskussion über die Zukunft des Internets prägen.

Die späte Pubertät von IPv6

Um sich den Fakten anzunähern, lohnt sich ein Blick auf den Zustand von IPv6 im April 2026. Googles Messung erreichte am 28. März 2026 erstmals einen Tages-Spitzenwert von 50,1 Prozent auf Google-Dienste weltweit; eine Schlagzeile, die mit kaum verhohlener Erleichterung gefeiert wurde. Der Durchschnitt pendelt seither zwischen 45 und 50 Prozent, je nach Wochentag. APNIC Labs misst rund 43 Prozent, Cloudflare etwa 40 Prozent bezogen auf HTTP-Requests.

Zu den Spitzenreitern zählen Frankreich, Indien und Saudi-Arabien; je nach Messmethode liegen sie deutlich über dem weltweiten Durchschnitt, dicht gefolgt von Indien, dessen hohe Werte wesentlich durch Reliance Jios früh eingeführte IPv6-only-Mobilfunknetze geprägt sind, sowie Deutschland.

Die USA überschreiten inzwischen die 50-Prozent-Marke, liegen im internationalen Vergleich jedoch nur im Mittelfeld. China wird im IPv6 Development Report 2025 mit 77 Prozent aktiven IPv6-Nutzern ausgewiesen; der dort genannte IPv6-Anteil am Gesamttraffic liegt jedoch nur bei 34 Prozent. Länder wie Sudan, Turkmenistan und viele Staaten in Afrika und Zentralasien erreichen weiterhin nur sehr geringe IPv6-Anteile von unter fünf Prozent.

Die IPv4-Knappheit hat sich dagegen deutlich entspannt. Große Blöcke ab /16 fielen bis Februar 2026 im Durchschnitt auf knapp unter zehn US-Dollar pro Adresse. Halter werfen Pools auf den Markt, weil sie fallende Preise antizipieren. Das Leasing-Geschäft bleibt stabil bei rund 0,50 US-Dollar pro IP und Monat. AWS berechnet seit Februar 2024 rund 44 Dollar pro Jahr pro öffentlicher IPv4-Adresse. Der wirtschaftliche Druck, auf IPv6 zu migrieren, ist real, aber nicht existenziell.

Geoff Huston von APNIC kommt in einer linearen Fortschreibung der aktuellen Entwicklung zu dem Ergebnis, dass der Übergang zu IPv6 erst gegen Ende des Jahres 2045 abgeschlossen wäre. Zugleich stellt er die Frage, ob das Internet nicht dauerhaft in einer Koexistenz aus IPv4 und IPv6 verharren könnte.

Die IETF-Gremien 6MAN und V6OPS beschäftigen sich mit Wartung, nicht mit Nachfolgern. Forschungsansätze wie SCION oder Named Data Networking haben den Testbed-Status bisher nicht verlassen und ersetzen IP in der Praxis nicht, während QUIC und HTTP/3 Performance-Probleme auf der Transportschicht lösen.

Der IETF-Prozess

Die entscheidende Einordnung, die in vielen Berichten untergeht, ist, dass ein Internet-Draft für sich nahezu keine Bedeutung hat. Jede Person kann einen solchen Entwurf einreichen. Die Prüfung durch das IETF-Sekretariat beschränkt sich im Wesentlichen auf formale Aspekte wie Struktur, vorgeschriebene Standardtexte und offensichtliche Verstöße gegen grundlegende Richtlinien. Anschließend erhält das Dokument einen offiziellen Dateinamen, ist für sechs Monate gültig und wird mit dem üblichen Hinweis versehen:

This I-D is not endorsed by the IETF and has no formal standing in the IETF standards process.

Bis aus einem Internet-Draft ein offizieller RFC wird, ist es ein weiter Weg. Zunächst muss eine zuständige Working Group den Entwurf überhaupt aufgreifen und zu ihrem eigenen Arbeitsdokument machen. Danach folgen meist zahlreiche Überarbeitungen, öffentliche Diskussionsrunden und mehrere formale Prüfungen durch die Führungsgremien der IETF. Erst wenn dabei ein breiter Konsens entsteht und idealerweise bereits mehrere unabhängige Implementierungen existieren, wird das Dokument als RFC veröffentlicht.

Für Einzelentwürfe ohne Unterstützung einer Working Group ist dieser Weg in der Praxis nur selten erfolgreich. Aber es existieren Ausnahmen wie HTTP/1.0, TLS, OAuth 2.0, QUIC und JWT, welche als Individual Drafts starteten, bevor sie in Working Groups überführt wurden.

Sie brachten jedoch von Anfang an funktionierende Implementierungen, konkrete Einsatzszenarien und starke Unterstützung aus der Industrie und der Community mit. Fehlt eine solche technische und organisatorische Basis, verschwinden die meisten Vorschläge nach kurzer Zeit wieder, ohne jemals den Status eines Standards zu erreichen.

Fazit

Der Fall IPv8 zeigt in erster Linie, dass das IETF-System bewusst offen gestaltet ist. Diese Offenheit ist eine Stärke, bringt aber zwangsläufig auch Vorschläge hervor, die nie eine realistische Chance auf Standardisierung haben.

Der Entwurf ist kein realistischer Nachfolger für IPv6, sondern ein technisch fragwürdiger Alleingang. Er benennt zutreffend die schleppende IPv6-Migration, das Wachstum der BGP-Tabelle und die betriebliche Komplexität moderner Netze. Die Antwort darauf ist jedoch ein noch komplexerer Protokoll-Stack.

Die versprochene vollständige Rückwärtskompatibilität hält einer technischen Prüfung nicht stand. Bestehende Systeme werden Pakete mit der Versionsnummer 8 in aller Regel schlicht verwerfen. Wer IPv6 aus Kosten- und Trägheitsgründen bisher nicht eingeführt hat, wird einen noch aufwendigeren Nachfolger erst recht nicht ausrollen.

Dass der Entwurf dennoch für Aufmerksamkeit sorgt, liegt weniger an seiner technischen Substanz als an seinem Namen und am Zeitgeist. Die eigentliche Konsequenz ist unspektakulär, aber naheliegend: die konsequente Weiterverbreitung von IPv6.

Dieser Artikel erschien ursprünglich auf Golem.de und ist hier in einer alternativen Variante zu finden.

DNS-Technologien im Überblick

Das altehrwürdige Domain Name System ist seit mittlerweile fast vierzig Jahren einer der Grundpfeiler des Internets. Daneben erblicken neue Technologien rund um das DNS das Licht der Welt und entsprechende Unterstützung zieht in die Betriebssysteme ein.

Einleitung

Damit Pakete für das Internetprotokoll in Version 4 und 6 durch das Internet versendet werden können, sind Endpunkte, wie Clients und Server, mit Adressen versehen.

Über diese Adressen können die Dienste eines Servers abgerufen werden, so z. B. der Aufruf einer Webseite. Während IPv4-Adressen wie 192.168.15.15 noch übersichtlich scheinen, sieht es bei IPv6-Adressen wie der Adresse 2001:0db8:3c4d:0015:0000:1507:1503:1a2b anders aus.

Menschen sind nicht sonderlich gut darin, sich Zahlen zu merken, sodass eine andere Adressierung für die entsprechenden Endpunkte geschaffen werden musste. Gelöst wurde das Problem durch das Domain Name System, welches gerne als Telefonbuch des Internets bezeichnet wird.

Damit können Domains wie example.org auf eine entsprechende IP-Adresse abgebildet werden. Durch dieses Mapping vereinfacht sich die Nutzung und Adressierung im Internet.

Hierarchie im System

Wird eine Domain wie example.org aufgerufen, so wird ein DNS-Server abgefragt, der einem daraufhin den Domainnamen zu einer IP-Adresse auflöst.

Das gesamte Domain Name System ist hierarchisch aufgebaut. Auf der obersten Ebene befinden sich die autoritativen Nameserver für die Root-Zone. Diese sind dreizehn an der Zahl und tragen die Namen A bis M. Sie liefern die entsprechende Root-Zone aus, bei welcher es sich um einen knapp 2 MB großen Datenblob handelt.

In diesem enthalten ist eine Liste der autoritativen Nameserver für jede Top-Level-Domain. Damit verweist die Root-Zone auf DNS-Server, welche für einzelne Top-Level-Domains wie .de, .org oder .net zuständig sind.

Die Hierarchie im Domain Name System

Die Nameserver für die einzelnen Top-Level-Domains verweisen für eine angefragte Domain wiederum auf autoritative Nameserver, welche für diese Domain zuständig sind. In der Theorie kann diese Hierarchie mit jeder Ebene einer Domain, wie z. B. Subdomains, fortgesetzt werden.

Autoritative und cachende Nameserver

Besagte autoritative Nameserver sind dafür verantwortlich, verbindliche Aussagen zu einer Zone, wie einer Domäne oder einer ganzen Top-Level-Domain zu treffen. Was der autoritative Nameserver mitteilt, ist die objektive Wahrheit im Domain Name System.

Da es aus Gesichtspunkten wie der Lastverteilung und der Antwortgeschwindigkeit eher unpraktikabel ist, alle Anfragen zu einer bestimmten Zone nur von den autoritativen Nameservern beantwortet zu lassen, existieren cachende Nameserver.

Diese Nameserver, stehen z. B. beim Internet Service Provider und beantworten die DNS-Anfragen der Kunden. Kann eine solche DNS-Anfrage nicht aus dem Cache beantwortet werden, so wird wiederum der autoritative Nameserver angefragt und das Ergebnis für weitere Anfragen im Cache gehalten.

Nach Ablauf der Time to Live (TTL), welche in der Zone definiert ist, wird der Cache invalidiert und bei der nächsten Anfrage wieder der autoritative Nameserver befragt.

Zonen im Detail

In einer Zone können unterschiedlichste sogenannte Resource Records, kurz Records angelegt werden. Eine Zone, welche die entsprechende Konfiguration enthält, könnte wie folgt aussehen:

$ORIGIN example.org.
$TTL 3600
; SOA Records
@		IN	SOA	dns.example.org. 2022061900 86400 10800 3600000 3600
; NS Records
@		IN	NS	ns-1.example.org.
@		IN	NS	ns-2.example.org.
@		IN	NS	ns-3.example.org.
; MX Records
@		IN	MX	10 mail.example.org.
; A Records
@		IN	A	10.1.1.1
; AAAA Records
@		IN	AAAA	2001:db8:123:4567::1
; CNAME Records
api		IN	CNAME	www
www		IN	CNAME	example.org.

In der Zonen-Datei sind eine Reihe von Resource Record-Typen definiert, welche bestimmten Zwecken dienen. Von diesen Typen ist eine größere Anzahl definiert, von denen hier ein auszugsweiser Überblick gegeben werden soll.

A

Der A-Record definiert die IPv4-Adresse des Hosts. Mit diesem wird der Hostname schlussendlich der entsprechenden IPv4-Adresse zugeordnet.

AAAA

Wie beim A-Record ordnet auch der AAAA-Record dem Host eine IP-Adresse zu. In diesem Fall wird allerdings eine IPv6-Adresse zugeordnet.

CNAME

Bei CNAME handelt es sich um die Abkürzung für Canonical Name record. Mit diesem Record kann einer Domain ein weiterer Name zugeordnet werden. Dies kann genutzt werden, um Subdomains wie api.example.org anzulegen.

In einer beispielhaften Konfiguration würde dies dann wie folgt aussehen:

$ORIGIN example.org.
info    IN	CNAME	www
www		IN	A	192.168.1.1
www		IN	AAAA	2a01:4f8:262:5103::1

Hier wird die Subdomain info.example.org per CNAME auf die Subdomain www.example.org verwiesen, welche wiederum per A- und AAAA-Record auf die entsprechenden IP-Adressen des Hosts verweist.

MX

Der MX-Record ist ein wichtiger Record-Typ im Domain Name System, weil er dafür sorgt, dass E-Mails den entsprechenden Empfänger erreichen. Dazu definiert er den entsprechenden Mailserver, welcher für eine Domain zuständig ist:

; MX Records
@		IN	MX	10 mail.example.org.

Damit kann per DNS ermittelt werden, wie der Mailserver erreichbar ist und die entsprechende E-Mail zugestellt werden.

NS

Der NS-Record bzw. die NS-Records definieren die für die Domain zuständigen Nameserver. Bei einem bei Hetzner gehosteten Server, könnte das Ganze wie folgt aussehen:

; NS Records
@		IN	NS	helium.ns.hetzner.de.
@		IN	NS	hydrogen.ns.hetzner.com.
@		IN	NS	oxygen.ns.hetzner.com.

Die dort angegebenen Server sind die autoritativen Nameserver, da die entsprechenden Auskünfte, die diese Server erteilen, für die konfigurierte Domain verbindlich sind.

PTR

Ein PTR-Record, kurz für Pointer record, dient dazu, ein Reverse DNS Lookup zu ermöglichen. Das bedeutet, dass zu einer IP-Adresse der entsprechende DNS-Name ermittelt wird.

Wichtig ist diese Art der Konfiguration unter anderem bei der Bereitstellung von Mailservern.

SOA

SOA-Records, welche ein Kürzel für Start Of Authority darstellen, dienen der Darstellung bestimmter Informationen wie der primären Nameserver oder der Bereitstellung von Informationen, wie der TTL, für andere DNS-Server.

; SOA Records
@		IN	SOA	hydrogen.ns.hetzner.com. dns.hetzner.com. 2022121602 86400 10800 3600000 3600

TXT

Der TXT-Record ist ein relativ universeller Record im Domain Name System, mit welchem maschinenlesbare Daten im DNS hinterlegt werden können:

; TXT Records
@		IN	TXT	"v=spf1 redirect=example.org"

Genutzt wird diese Möglichkeit für unterschiedliche Techniken, wie im E-Mail-System mit DMARC oder dem Sender Policy Framework (SPF).

Probleme im Domain Name System

Das Domain Name System funktioniert in den Grundzügen, so wie es seit 1983 definiert wurde. Allerdings wirft diese Architektur auch einige Probleme auf.

In der klassischen DNS-Variante über UDP oder TCP, findet die komplette Kommunikation unverschlüsselt statt und stellt somit auch aus Sicht des Datenschutzes bzw. der Privatsphäre ein Problem dar.

Daneben sind die DNS-Responses nicht vor Änderungen geschützt und können somit ohne Wissen des Empfängers manipuliert werden.

Auch DDoS-Attacken in Form einer DNS Amplification Attack lassen sich bedingt durch die Gegebenheiten im Domain Name System durchführen. Hierbei wird die Zieladresse mit Datenverkehr von DNS-Servern belastet. Dies funktioniert, da der Angreifer eine DNS-Anfrage mit einer gefälschten IP-Adresse stellt und die Antwort somit beim eigentlichen Ziel der Attacke aufläuft. Der Angreifer benötigt in einem solchen Fall wenig Bandbreite, da die Antwort des DNS-Servers meist wesentlich größer ausfällt, als die Anfrage.

Ein weiteres Problem sind sogenannte Broken Resolvers. Dies ist insbesondere bei einigen Internet Service Providern der Fall, bei denen Dinge wie die TTL, also die Gültigkeit einer DNS-Antwort nicht berücksichtigt werden. Daneben existieren auch solche Resolver, die bei nicht vorhanden Domains nicht mit NXDOMAIN antworten, sondern stattdessen auf eine eigene Webseite umleiten.

Dieses Problem kann schon mit dem ursprünglichen Domain Name System verhindert, werden, indem alternative DNS-Server genutzt werden. Grundsätzlich erschweren solche Broken Resolvers die Fehlerfindung und beeinflussen die Funktionalität des Domain Name System.

Eine Fehlermeldung in Chrome, welche auf Probleme mit der DNS-Konfiguration hinweist

Interessant ist hier die Unterstützung durch Browser, wie Chrome, welcher bei Inkonsistenzen mit dem DNS-Server entsprechende Hinweise in Form einer spezifischen Fehlermeldung gibt.

Verbesserungen am System

Die Schwächen des Domain Name Systems sind nicht unberücksichtigt geblieben und so gab es im Laufe der Zeit immer wieder Verbesserungen, um das eine oder andere Problem zu beseitigen und das Domain Name System zu verbessern.

Dies fing schon in der Frühzeit des DNS an, als neben der ursprünglichen Möglichkeit per UDP Anfragen zu stellen, dies auch per TCP abgewickelt werden sollte. Hintergrund war es hier unter anderem DNS-Responses, welche größer als 512 Byte sind, versenden zu können.

Daneben wurde zur Erweiterung der DNS-Responses über UDP der Extension Mechanismus for DNS, kurz EDNS, definiert. Über diesen Mechanismus ist es möglich, mehr als 512 Byte per UDP zu übertragen. Genutzt wird dies unter anderem bei DNSSEC.

Bei der gewöhnlichen Nutzung wird in den meisten Fällen, aufgrund des geringeren Overheads, UDP genutzt. Nur in Fällen, in denen z. B. größere Datenmengen im Spiel sind, wird TCP genutzt.

TSIG und DNSSEC

Eine Sicherheitstechnologie in Bezug auf DNS ist TSIG, welches mit der RFC 2845 spezifiziert wurde. Das Kürzel steht für Transaction Signatures und ist ein Verfahren zur Absicherung von DNS-Updates z. B. bei dynamischem DNS.

Eine weitere Erweiterung des DNS sind die Domain Name System Security Extensions kurz DNSSEC. Mittels DNSSEC soll die Authentizität und Integrität von DNS-Daten gewährleistet werden.

Das bedeutet bei DNSSEC, dass die Übertragung selbst nicht verschlüsselt ist, sondern nur sichergestellt wird, dass die enthaltenden Daten korrekt und unverändert sind. Die Verbreitung von DNSSEC hat dabei in den vergangenen Jahren zugenommen.

Technologien für neue Anforderungen

Während Technologien wie DNSSEC und TSIG, bestimmte Anwendungszwecke im Auge haben, ist das Bewusstsein für Datenschutz und Privatsphäre im Laufe der letzten Jahre und Jahrzehnte gewachsen, sodass Lösungen entwickelt wurden, welche unverschlüsseltes DNS ersetzen oder ergänzen sollen.

Die neu entwickelten Protokolle und Technologien, welche in den vergangenen Jahren entwickelt wurden, hören auf so illustre Kürzel wie DoT, DoH oder DoQ.

Die unterschiedlichen DNS-Varianten im Laufe der Zeit

Interessant ist hier ein kurzer Rückblick auf die Geschichte des DNS-Protokolls. Als dieses ursprünglich zum Einsatz kam, setzte das Protokoll auf UDP auf, sodass die erste DNS-Version als DNS over UDP bezeichnet werden kann.

Mit der RFC 1123 aus dem Jahre 1989 wurde schließlich begonnen TCP für DNS-Anfragen zu nutzen, sodass DNS over TCP geboren war. Sowohl die UDP als auch die TCP Variante nutzen den Port 53.

DNS over TLS

DNS over TLS, kurz DoT, wurde im Mai 2016 im Rahmen der RFC 7858 standardisiert und wird genutzt, um DNS-Abfragen mittels TLS zu verschlüsseln. Es handelt sich hierbei nur um eine Transport- und um keine Ende-zu-Ende-Verschlüsselung.

DNS über TLS

Bei DoT wird zu dem DNS-Server eine Verbindung über TCP aufgebaut und diese mittels TLS abgesichert. Bedingt durch die Transportverschlüsselung können die DNS-Einträge nicht mehr zwischen den Knoten manipuliert werden. Der standardmäßig vorgesehene Port für DoT ist 853.

Wie auch bei DNS over HTTPS, werden bei dieser Variante DNS-Verstärkungsangriffe weitestgehend unterbunden.

Gegenüber unverschlüsseltem DNS erzeugt die Verschlüsslung per TLS einen gewissen Overhead, welcher sich auf die Geschwindigkeit der DNS-Anfrage auswirkt.

Im Gegensatz zu DNS über HTTPS soll diese Variante in der Praxis schneller sein. Allerdings gibt es je nach Implementierung unter Umständen Probleme, die meist von einem nicht korrekt implementierten Standard herrühren.

Bedingt durch den fest definierten Standardport für DoT (853), lässt sich dieses Protokoll relativ einfach blockieren. In einem solchen Fall kann auf andere DNS-Protokolle geschwenkt oder alternativ auf unverschlüsseltes DNS gesetzt werden.

DNS over HTTPS

Eine weitere Variante, welche ähnlich dem DNS over TLS funktioniert, ist DNS over HTTPS. Dieses wurde in der RFC 8484 standardisiert.

DNS über HTTPS

DoH läuft über den gleichen Port, wie gewöhnliches HTTPS, den Port 443. Damit kann von Außen keine Unterscheidung getroffen werden, ob es sich um DNS-Anfragen oder normalen HTTPS-Datenverkehr handeln.

Der Grund hierfür ist darin zu suchen, dass der Datenverkehr bzw. die Informationen der DNS-Abfrage über das Hypertext Transfer Protocol gesendet werden.

Damit wird eine Blockierung entsprechender DNS-Abfragen über dieses Verfahren erschwert. Allerdings leidet auch hier wieder die Performanz im Vergleich zu gewöhnlichem unverschlüsselten DNS.

Eine Spielart von DNS over HTTPS ist das relativ neue DNS-over-HTTP/3 kurz DoH3, welches wie HTTP/3 als Transportprotokoll QUIC anstatt von TCP nutzt. Dies darf allerdings nicht mit DNS over QUIC verwechselt werden.

DNS over QUIC

Zu den neueren Ideen bzw. Technologien bei der DNS-Abfrage gehört DNS over QUIC. Ziel von DoQ ist es, die Latenzen zu verringern, bei gleichzeitiger Nutzung einer verschlüsselten Verbindung.

DNS über QUIC

Definiert ist DoQ in der RFC 9250. Grundlage für das Protokoll ist QUIC, welches als Transportschicht TCP ersetzt und in dieser Form auch bei HTTP/3 genutzt wird.

Ziel von DoQ ist, dass dieses Protokoll auch für autoritative Nameserver verwendet werden kann. Damit soll eine möglichst breite Anzahl an Nutzungsmöglichkeiten im Zusammenhang, mit dem Domain Name System abgebildet werden können.

Da DoQ über den zugewiesenen Port 853 läuft, ist auch hier technisch gesehen eine einfache Blockierung möglich. Allerdings definiert die RFC hier im Abschnitt Port Selection:

In the stub to recursive scenario, the use of port 443 as a mutually agreed alternative port can be operationally beneficial, since port 443 is used by many services using QUIC and HTTP-3 and is thus less likely to be blocked than other ports

Unterstützung auf Serverseite

Damit DNS-Dienste, über welche Protokolle auch immer, im Internet genutzt werden können, muss die entsprechende Server-Software die gewünschten Protokolle unterstützen.

Neben BIND, dem Platzhirsch unter den DNS-Server, existieren noch weitere DNS-Server von denen bezüglich ihrer Fähigkeiten noch Unbound und der Windows Server kurz beleuchtet werden sollen.

DNS over TLS DNS over HTTPS DNS over QUIC
BIND ab Version 9.17 ab Version 9.17
Unbound ab Version 1.7.3 ab Version 1.12.0
Windows Server (DNS) ab Windows Server 2022

Bei BIND zogen mit der Version 9.17, welche im Jahr 2020 erschien, der Support für DoT und DoH (in einer experimentellen Version) ein. Eine Unterstützung für DNS over QUIC, steht im Moment noch aus.

Unbound liefert seit der im Juni 2018 erschienen Version 1.7.3 eine Unterstützung für DNS over TLS aus. Mit der im Oktober 2020 erschienen Version 1.12.0 wurde die Unterstützung für DNS over HTTPS implementiert. An der Umsetzung von DNS over QUIC in Unbound wird im Moment noch gearbeitet.

Ab dem Windows Server 2022 wird DNS over HTTPS offiziell unterstützt. Bei DNS over TLS und DNS over QUIC ist bisher keine Unterstützung im Windows Server vorhanden.

Linux

Neben der Unterstützung auf Serverseite ist auch die Unterstützung auf Client-Seite, in Form von Betriebssystemen auf dem Desktop, als auch im Bereich der mobilen Betriebssysteme wichtig.

In den meisten Linux-Distributionen, welche Systemd nutzen, kann dies über systemd-resolved erledigt werden. Dieser unterstützt ab der Version 239 opportunistisches DNS over TLS und ab der Version 243 striktes DNS over TLS.

Hier kann z. B. unter Ubuntu in der Konsole die entsprechende Konfigurationsdatei editiert werden:

nano /etc/systemd/resolved.conf

Dort sollte die Einstellung:

DNSOverTLS=yes

hinzugefügt werden. Anschließend können über den normalen Netzwerkdialog, DoT-fähige DNS-Server eingetragen werden:

9.9.9.9, 149.112.112.112

In diesem Fall sind es die DNS-Server von Quad9. Anschließend laufen die DNS-Abfragen per DoT über die gewählten DNS-Server.

macOS

Seit macOS 11, welches mit dem Namen Big Sur auf den Markt kam, unterstützt macOS neben DNS over TLS auch DNS over HTTPS.

Aktiviert werden können die gewünschten Einstellungen über Konfigurationsprofile. Dazu muss ein entsprechendes Profil heruntergeladen und anschließend installiert werden.

Das Profil unter macOS

Die Konfigurationsprofile befinden sich in den Systemeinstellungen unter macOS. Nach der Aktivierung kann über das Terminal überprüft werden, ob die entsprechenden Einstellungen aktiv sind:

sudo tcpdump -i any "port 853 and host 9.9.9.9 or host 149.112.112.112"

Bei der Nutzung von DoH sollte der Port im Befehl auf 443 geändert werden. Nachdem der Befehl abgesetzt wurde, sollte Netzwerkverkehr zu dem Quad9-DNS-Server im Dump auftauchen.

Windows

Unter Windows 10 wird, seit dem Build 19628, DNS over HTTPS unterstützt. Dazu muss in der Registry der Pfad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters

aufgerufen werden und dort ein Parameter vom Typ DWORD erstellt werden. Dieser trägt den Namen EnableAutoDoh sowie den Wert 2. Anschließend sollte ein Neustart des Rechners durchgeführt werden.

Die Einstellungen im Registrierungs-Editor

Nun können in den Einstellungen für den jeweiligen Netzwerkadapter die passenden DNS-Server mit einer entsprechenden Unterstützung für DoH eingestellt werden:

9.9.9.9, 149.112.112.112

Unter Windows 11 können die Einstellungen für DoH bequem über die Netzwerkeinstellungen eingestellt werden, nachdem dort die passenden DNS-Server hinterlegt sind, kann dort unter DNS over HTTPS das Feature aktiviert werden.

Neben DoH unterstützt Windows 11 auch DNS over TLS. Dazu werden in den Netzwerkeinstellungen die entsprechenden DNS-Server hinterlegt und das DNS over HTTPS-Feature deaktiviert.

Nun muss die Kommandozeile geöffnet werden und dort müssen die Befehle:

netsh dns add global dot=yes​
netsh dns add encryption server=9.9.9.9 dothost=: autoupgrade=yes
netsh dns add encryption server=149.112.112.112 dothost=: autoupgrade=yes

eingegeben werden. Das Kommando:

netsh dns add encryption

muss hierbei für jeden DNS-Server für die IPv4- und IPv6-Adresse wiederholt werden. Abgeschlossen wird das Prozedere mittels:

ipconfig /flushdns
netsh dns show global

Der letztere Befehl zeigt an, ob die Einstellungen für DNS over TLS aktiviert wurden. DNS over QUIC wird unter Windows vom System selbst bisher noch nicht unterstützt.

Android

Während seit Android 9 (Pie) DNS over TLS bereits verfügbar ist, ist DNS over HTTPS ab Android 11 enthalten und teilweise auch auf einigen Geräten mit Android 10 verfügbar.

Die teilweise Verfügbarkeit unter Android 10 erklärt sich dadurch, dass das entsprechende DNS Resolver Modul unter Android 10 noch optional, aber unter Android 11 verpflichtend zum System dazu gehört. Installiert werden diese Änderungen über ein Google Play-Systemupdate.

In den Einstellungen kann DoT bzw. DoH aktiviert werden

Zur Aktivierung unter Android genügt es in den Systemeinstellungen, die Netzwerkeinstellungen aufzurufen und dort im Punkt Privates DNS, die entsprechenden DNS-Server zu hinterlegen. Hierbei wird, je nach Android-Version, DNS over HTTPS (in der Variante DoH3) gegenüber DNS over TLS bevorzugt, zumindest bei den dem System bekannten DNS-Servern.

iOS

Seit iOS 14, also knapp 2 Jahre später als unter Android, zog in iOS die Unterstützung für DNS over TLS ein. Ebenfalls ab iOS 14 wird DNS over HTTPS unterstützt.

Wie unter macOS, kann die Einstellung über entsprechende Konfigurationsprofile vorgenommen werden. Dazu muss ein Profil auf dem iOS-Gerät heruntergeladen und installiert werden.

Die Installation des Profils erfolgt über die Einstellungen unter iOS

Nachdem das Profil bestätigt und installiert worden ist, wird der DNS-Server in der im Profil hinterlegten Konfiguration genutzt.

Unter iOS existiert die Besonderheit, dass DNS-Abfragen für den Appstore und die Terminalbefehle dig und nslookup per Design nicht über die im Profil hinterlegten DNS-Server abgefragt werden.

Das Profil kommt nicht immer zur Anwendung

Auch gelten die Einstellungen nicht, wenn z. B. iCloud Privat Relay oder eine VPN-Verbindung aktiv sind.

Browser

Neben der betriebssystemseitigen Unterstützung liefern auch die meisten Browser mittlerweile eine Unterstützung für DNS over HTTPS aus. Diese Unterstützung ist unabhängig vom darunterliegenden Betriebssystem.

Die Einstellungen für DNS over HTTPS im Firefox

Im Firefox kann DNS over HTTPS in den Einstellungen unter Allgemein und dort in den Verbindungs-Einstellungen aktiviert werden. Dort kann dann der Punkt DNS über HTTPS aktiviert mitsamt eines Servers ausgewählt werden.

Die Einstellungen zu DoH unter Chrome

Unter Chrome kann DoH über die Einstellungen unter dem Punkt Datenschutz und Sicherheit aktiviert werden. Dort findet sich unter dem Unterpunkt Sicherheit der Punkt Sicheres DNS verwenden.

Router

Auch Router bieten in vielen Fällen Funktionalitäten zur besseren Absicherung von DNS-Abfragen.

So können in der FRITZ!Box entsprechende DNS-Server, welche DoT unterstützen hinterlegt werden. Auf Wunsch kann die FRITZ!Box auch einen Fallback auf unverschlüsseltes DNS durchführen, falls die entsprechenden DoT-Server nicht erreicht werden können. Dies kann zum Beispiel durch entsprechende Firewalls oder beim technischen Ausfall der Server passieren.

Andere Verfahren

Neben den oben beschriebenen Varianten existieren noch weitere DNS-Varianten wie Oblivious DNS bzw. Oblivious DoH, DNS over TOR und DNSCrypt, welche allerdings im weiträumigen Praxiseinsatz eher seltener zu finden sind.

Nachteile der neuen Lösungen

Bei den neuen Lösungen, wie DoT, DoH und DNS over QUIC, existieren eine Reihe von Problemen bzw. Kritikpunkten.

Viele beziehen sich dabei auf gewünschte Eigenschaften der Verfahren, wie die Verschlüsselung, welche es unter anderem erschwert, den DNS-Verkehr zu überwachen. Genutzt wird eine solche Überwachung z. B. in Kinderschutzsoftware, oder im geschäftlichen Umfeld, um den Netzwerkverkehr zu überwachen und entsprechende Policen durchzusetzen.

Je nach Lösung wird dann versucht, die neueren Verfahren zu deaktivieren bzw. dessen Nutzung nicht zuzulassen oder aber eigene Server für die entsprechenden Protokolle zu betreiben, welche wiederum die entsprechen Sperrmöglichkeiten anbieten.

Auch sind die, bei den Verfahren wie DoT oder DoH genutzten, meist zentralen DNS-Server von Google, Cloudflare oder Quad9 ein Problem, da sich dort ein Großteil des DNS-Verkehrs sammelt und dies Begehrlichkeiten wecken oder der Profilbildung dienen kann.

Daneben sollte beachtet werden, dass je nach Implementation bzw. Betriebssystem die Nutzung der verschlüsselten DNS-Varianten nicht immer garantiert ist. Sei es durch ungewollte Downgrades auf unverschlüsseltes DNS oder aber Applikationen wie der Appstore unter iOS, welcher von den DNS-Einstellungen des Systems unabhängig funktioniert. Daneben gibt es in bestimmten Versionen von Android den Fall, dass die Private-DNS-Einstellungen nach dem Aufwachen des Gerätes erst wieder nach einigen Sekunden angewendet werden.

Fazit

DNS-Abfragen müssen heute nicht mehr unverschlüsselt erfolgen, da es eine Reihe von neuen Ideen und Transportprotokollen gibt, welche neben der jeweiligen Vorteile teilweise auch spezifische Nachteile haben.

Mittlerweile findet sich für die Verfahren DNS over TLS und DNS over HTTPS eine breitere Unterstützung in den Betriebssystemen. Dort, wo diese noch nicht verfügbar ist, kann auf DNS-Proxies oder im Spezialfall Browser auf dessen Möglichkeiten zurückgegriffen werden.

DNS over TLS DNS over HTTPS DNS over QUIC
Linux über systemd-resolved (ab Version 239 bzw. 243)
macOS ab macOS 11 (Big Sur) ab macOS 11 (Big Sur)
Windows ab Windows 11 (Build 25158) ab Windows 10 (Build 19628), Windows 11
Android ab Android 9 (Pie) ab Android 11
iOS ab iOS 14 ab iOS 14

Neben der gewöhnlichen DNS Auflösung haben aktuell vorwiegend die Technologien DoT und DoH eine größere Verbreitung erlangt. Spannend wird in Zukunft auch die Entwicklung von DoQ, welches zumindest das Potenzial hat, bestehende Technologien rundum DNS-Abfragen abzulösen.

Allerdings stellt sich bei vielen dieser Protokolle die Frage, welchen DNS-Servern vertraut werden soll, denn das bestehende DNS-System ist ein dezentrales System ohne übermächtige Gatekeeper, während bei Diensten wie DoT und DoH eine Zentralisierung zu beobachten ist.

Dieser Artikel erschien ursprünglich auf Golem.de und ist hier in einer alternativen Variante zu finden.