Leckt dein DNS-Resolver?
Do, 8. Dezember 2022, Ralf Hersel
Obwohl wir sind x-mal über die Wahl eines besseren DNS-Resolvers geschrieben haben (siehe Quellen), kann man es nicht oft genug wiederholen. Ohne euer Zutun wird die URL, die eure App oder euer Webbrowser aufruft, vom Domain Name System (DNS) eures Providers in eine IP-Adresse übersetzt, damit der Ziel-Server erreicht werden kann. Das Dumme daran ist, dass eben dieser Provider weiss, welche Seiten ihr aufruft.
Die Eigentümer des DNS-Resolvers sind in der Lage, deine persönliche IP-Adresse mit den Namen aller Webseiten, die du besuchst, zu verknüpfen und diese Daten auf unbestimmte Zeit zu speichern. Ausserdem können diese Daten verkauft werden, um dir zum Beispiel zielgerichtete Werbung zuzuspielen. Falls ihr es genau wissen möchtet, könnt ihr hier weitere Details nachlesen.
Es gibt viele DNS-Resolver, die vertrauenswürdiger sind als die automatischen Einstellungen auf euren Geräten. Hier nur eine kleine Auswahl:
Das Umstellen auf einen alternativen DNS-Anbieter ist sehr einfach. Das möchte ich am Beispiel von dnsforge zeigen. Bei Android (ab Version 9) geht man in die "Systemeinstellungen, Netzwerke, Privates DNS" und trägt dort dnsforge.de ein.
Auf Linux-Desktops (z.B. GNOME) öffnet man in den Systemeinstellungen entweder Netzwerk oder WLAN und trägt dort einer der IPs von dnsforge (z.B. 176.9.1.117) ein und schaltet Automatisch aus. Je nachdem, für IPv4 oder IPv6.
Auch dem Webbrowser kann man einen anderen DNS-Resolver verpassen. Dazu öffnet man "Einstellungen, Allgemein, (ganz nach unten scrollen), Verbindungseinstellungen", schaltet "DNS über HTTPS aktivieren" ein und trägt die Adresse: https://dnsforge.de/dns-query ein.
Diese Änderungen wirken unmittelbar; es ist kein Reboot notwendig. Wenn ihr überprüfen möchtet, ob diese Änderungen angenommen wurden, könnt ihr auf der Seite dnsleaktest.com einen Test durchführen. Dort klickt ihr auf Standard Test und wartet die Ergebnisse ab. Falls ihr dnsforge verwendet habt, sollte es so aussehen:
Von der Umstellung auf einen anderen DNS-Resolver merkt ihr im normalen Betrieb nichts. Ein Unterschied zeigt sich nach meiner Erfahrung (mit Quad9), wenn ihr unterwegs seid und Captive Portals ansteuert. Das sind Zwischenwelten, die euch eine Anmeldung abpressen, um Zugang zum Internet in Hotels, Restaurants oder im öffentlichen Verkehr zu erhalten. Gute DNS-Resolver sperren Captive Portals, was oft zum Frust führt, weil ihr keinen Internet-Zugang erhaltet. Wenn ihr euch des Risikos bewusst seid, könnt ihr in diesen Fällen den DNS-Resolver auf dem Smartphone kurzfristig auf Automatisch umschalten (siehe 2. Screenshot).
Quellen:
https://gnulinux.ch/doh-unter-firefox-und-thunderbird-aktivieren
https://gnulinux.ch/pihole-installation-und-betrieb
https://gnulinux.ch/unbound-dns-server-in-pihole-integrieren
