Firefox mit verschlüsselten DNS Anfragen nutzen

H

HabNeFritzbox

Guest
Moin Moin,

um DNS zu verschlüsseln direkt vom Browser aus, dass weder Windows, Router oder Anbieter mitlesen kann, kann man DoH verwenden. Etwas mehr Infos zu findet man auf https://www.privacy-handbuch.de/handbuch_21w.htm

Zum ändern im Firefox auf die Seite about:config

Dort den Wert network.security.esni.enabled auf true ändern und network.trr.mode auf 2 ändern.

Im Test sollten dann alle 4 Punkte grün sein, ohne Änderung der Konfig im Browser zumindest mittleren beiden Punkte.
https://www.cloudflare.com/ssl/encrypted-sni/

Es wird in der Standardkonfig dann DNS von Cloudflare verwendet.

Wenn man so schauen will dass DNSsec zumindest richtig durchgereicht über normale System/Router kann man prüfen mit http://en.conn.internet.nl/connection/

Die FritzBox unterstützt als DNS Resolver entsprechend ganze durchzureichen.

Mit Provider DNS von Telekom und co. gibt es Beanstandungen und keine 100%, mit Google oder Cloudflare DNS im Router bekommt man die 100%. Man sollte im Router die Standard DNS ändern, allein damit DNS Sperren von Vodafone und co. nicht greifen und man keine Einschränkungen hat.

Und wenn man noch allgemein bei Webseiten schauen will ob die DNSsec einsetzen und TLSA Records valide sind hilft Addon https://addons.mozilla.org/de/firefox/addon/dnssec/

Die üblichen großen Webseiten wie Telekom, Goolge, Amazon und co verwenden kein DNSsec, sind sich die Admins wohl zu schade für, dabei ist es nicht schwer umzusetzen.
 
All seine DNS-Auflösungen über Cloudflare machen zu lassen, liefert denen sehr viele Daten des eigenen Surfverhaltens.
Auch kann man damit z.B. lokale Namen nicht mehr (so einfach) auflösen.

DoH löst nicht das Problem, dass man seinem DNS-Anbieter vertrauen muss Einen der großen Datensammler damit zu beauftragen, sehe ich persönlich als 'ungünstig' an.

Auch sehe ich es al Problematisch an, wenn die verschiedenen Dienste auf dem eigenen Server unterschiedliche Anbieter bei der Namensauflösung verwenden. Die Namensauflösung sollte auf dem Computer nur von einem Dienst durchgeführt werden, es sollte nicht jede Anwendung seine eigenen Lösungen verwenden.

Von den beiden Punkten ist für mich der zweite der Punkt, der mich hindert, DoH oder DoT zu verwenden, wen es nicht vom DNS-Resolver des Computers, oder dem, den ich in meinem Netz verwende, eingesetzt wird.
DoT oder DoH ist auch kein Ersatz für DNSSEC, die beiden ersteren verhindern eine Lauschen (und verändern, aber das macht ja auch DNSSEC) auf dem Transportweg, der dritte stellt insgesamt sicher, dass die Daten dem Entsprechen, was der Betreiber des Servers definiert hat.
 
Guten Morgen!

Einen der großen Datensammler damit zu beauftragen, sehe ich persönlich als 'ungünstig' an.

Die letzte Aussage ist unbestritten. Denke mal, das sieht jeder mitdenkende Mensch genau so.
Allerdings habe ich in veröffentlichten Unterlagen von Mozilla (sinngemäß jetzt von mir zitiert) zweierlei gelesen:
1.) Die alleinige Nutzung von Cloudflare dient des Test des Verfahrens. Mozilla will, wenn alles gut funktioniert, auch mit anderen (mehreren!) Anbietern zusammenarbeiten. Cloudflare ist mit seiner hervorragenden Infrastruktur einer der besten und weltweit vertretenen DNS-Anbieter. IMHO ein guter Partner für diesen Test.
2.) Mozilla hat nach eigenen Angaben einen guten Vertrag mit Cloudflare geschlossen, welcher das "Datensammeln" zum Nachteil der Nutzer einschränken soll.

Ich sehe es so:
- Im Interesse der Nutzer des Internets sollte das unverschlüsselte DNS endlich abgeschafft werden.
- Und auf dem Weg zu diesem Ziel muss man eben auch mal Schritte gehen, welche nicht unbedingt optimal sind.
- Und als besonders wichtig sehe ich eine offene und ehrliche und vertrauensbildende Information der Nutzer an. Und das hat IMHO Mozilla getan.

Gegenwärtig noch problematisch sehe ich:
- die schon erwähnte Auflösung innerhalb eigener Netze,
- und hier speziell die Nutzung solcher Helfer wie pihole - auf den ich nur äußerst ungern verzichten möchte. Aber hier habe ich ja noch gar nicht angefangen zu testen. Denke mal, dass es auch hier Lösungen geben wird.


MfG Peter
 
Wie verhält es sich mit srv-einträgen im eigenen Providernetz (z.B. für VoIP)?
 
Ich nutze Cloudflare in der FB, damit nicht alles an Google geht wenn man schon Suche dort verwendet.

Im ersten oben genannten Link stehen auch noch paar andere Server wenn man Google und Cloudflare nicht mag.

Irgendeinen DNS muss man ja verwenden, als DoH/DoT kann man sich bestimmt auch auf nem RasPi einbinden, aber wohl nicht wirklich was, da es ja nur die kurze Strecke im Heimnetz betrifft und RasPi dann wieder alles unverschlüsselt anfragt.
 
einfach den Tor Browser auf Firefox Basis nutzen ... da greift auch keine DNS Sperre des Providers
 
Tor ist langsam, und geht nicht nur um den Browser.
 
verstehe ich die Umfrage nicht. DNSsec ist was völlig anderes als DoH oder Dot.

jo
 
Ich benutze diese Lösung:
https://www.mielke.de/blog/Mit-dem-...fuer-das-gesamte-lokale-Netz-einrichten--488/
zusammen mit dem darin enthaltenen Link:
https://pi-hole.net/2018/06/09/ftldns-and-unbound-combined-for-your-own-all-around-dns-solution/
Ohne Hyperlocal.
Kommt mir deutlich einfacher vor als die Kuketzanleitung.
Läuft bei mir seit einigen Monaten völlig stabil.

Rundum zufrieden kann man trotzdem nicht sein. Der ISP erhält ja letztendlich alle zahlenmäßigen IP-Adressen der noch so sicher aufgelösten Domain-Names und kann, wenn er will, seiner Sammelleidenschaft frönen.
 
Beides hatte ich lange Zeit erfolgreich auf einer FB7490 am Rennen. Seit ich diese gegen 7590 upgegradet habe, wird über deren DNS-Einstellungen alles blockiert oder unwirksam, falls alternativ z.B. 1.1.1.1 drinsteht neben dem Pi-hole bzw. seiner local IP. Der PI wird für Standardanfragen gleich garnicht befragt, egal was ich dort als custom angebe.
LG
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.