| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| knb:dohdot [2021/04/06 19:37] – awickert | knb:dohdot [2022/01/13 12:43] – [DNS-over-HTTPS und DNS-over-TLS Unterstützung] chris_joki |
|---|
| ====== DNS-over-HTTPS und DNS-over-TLS Unterstützung ====== | ====== DNS-over-HTTPS und DNS-over-TLS Unterstützung ====== |
| {{:ffmuc_logo.png?nolink&150|Bild: Freifunk München Logo}} \\ | {{:ffmuc_logo.png?nolink&150|Bild: Freifunk München Logo}} \\ |
| \\ | |
| Sep 16, 2019 | |
| ===== Hintergründe ===== | ===== Hintergründe ===== |
| Sicher habt ihr schon von dem Thema gehört, welches zur Zeit groß durch die [[https://www.golem.de/news/wegen-cloudflare-openbsd-deaktiviert-doh-im-firefox-browser-1909-143884.html|IT-News]] geistert. Mozilla wird in Firefox [[https://cloudflare.com/|Cloudflare]] als DoH-Server integrieren und standardmäßig aktivieren. An sich ist es keine schlechte Idee, DNS-Abfragen zu verschlüsseln, damit in offenen Netzen (wie Freifunk) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, //per default// einen Provider aus den USA einzusetzen. | Sicher habt ihr schon von dem Thema gehört, welches zur Zeit groß durch die [[https://www.golem.de/news/wegen-cloudflare-openbsd-deaktiviert-doh-im-firefox-browser-1909-143884.html|IT-News]] geistert. Mozilla wird in Firefox [[https://cloudflare.com/|Cloudflare]] als DoH-Server integrieren und standardmäßig aktivieren. An sich ist es keine schlechte Idee, DNS-Abfragen zu verschlüsseln, damit in offenen Netzen (wie Freifunk) diese nicht mitgelesen werden können. Allerdings ist es vielen Nutzern und auch uns ein Dorn im Auge, //per default// einen Provider aus den USA einzusetzen. |
| Wir haben uns auch auf der Seite des [[https://dnscrypt.info/public-servers/|DNSCrypt-Projektes]] eintragen lassen, wodurch wir automatisch bei den Resolvern in der App [[https://apps.apple.com/de/app/dnscloak-secure-dns-client/id1452162351|DNSCloak]] (iOS) oder bei [[https://github.com/DNSCrypt/dnscrypt-proxy|dnscrypt-proxy]] zu finden sind. | Wir haben uns auch auf der Seite des [[https://dnscrypt.info/public-servers/|DNSCrypt-Projektes]] eintragen lassen, wodurch wir automatisch bei den Resolvern in der App [[https://apps.apple.com/de/app/dnscloak-secure-dns-client/id1452162351|DNSCloak]] (iOS) oder bei [[https://github.com/DNSCrypt/dnscrypt-proxy|dnscrypt-proxy]] zu finden sind. |
| |
| Adressen (auch als normale DNS Server nutzbar): | Adressen (auch als normale [[knb:dns|DNS Server]] nutzbar): |
| * ''doh.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' | * ''doh.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' |
| * ''dot.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' | * ''dot.ffmuc.net - IPv4: 5.1.66.255 / 185.150.99.255 IPv6: 2001:678:e68:f000:: / 2001:678:ed0:f000::'' |
| **Nur, um es gesagt zu haben**: \\ | **Nur, um es gesagt zu haben**: \\ |
| \\ | \\ |
| Bei uns gibt es keine Logs, die irgendwie Rückschlüsse auf die Nutzung ermöglichen! | Bei uns gibt es keine Logs, die Rückschlüsse auf die inhaltliche Nutzung des Dienstes durch einzelne Benutzer ermöglichen. |
| Es gibt nur ein paar allgemeine Statistiken, die auf der Statusseite einsehbar sind und wir haben Logs bzgl. Requests/IP für rate-limits. \\ | Es gibt lediglich zusammenfassende Statistiken, die auf obiger Statusseite öffentlich einsehbar sind. Um rate-limits durchzusetzen, führen wir darüber hinaus Logs bzgl. der Anzahl von Requests pro IP-Adresse.\\ |
| |
| Wir sehen also nur, **//dass//** etwas und nicht **//was//** gefragt wird. | Wir sehen also nur, **//dass//** eine DNS-Auflösung angefragt wurde und nicht **//was//** gefragt wurde. |
| </WRAP> | </WRAP> |
| |
awickert