Zum Hauptinhalt springen

10. Operational Considerations (Betriebliche Überlegungen)

Lokale Richtlinienüberlegungen und ähnliche Faktoren bedeuten, dass verschiedene DNS-Server möglicherweise unterschiedliche Ergebnisse für dieselbe Abfrage liefern, zum Beispiel in Split-DNS-Konfigurationen [RFC6950]. Es folgt logisch, dass der abgefragte Server das Endergebnis beeinflussen kann. Daher kann die Wahl des DNS-Servers durch einen Client die Antworten beeinflussen, die er auf seine Abfragen erhält. Zum Beispiel könnte im Fall von DNS64 [RFC6147] die Wahl beeinflussen, ob die IPv6/IPv4-Übersetzung überhaupt funktioniert.

Der von dieser Spezifikation verwendete HTTPS-Kanal stellt eine sichere Zwei-Parteien-Kommunikation zwischen dem DoH-Client und dem DoH-Server her. Filter- oder Inspektionssysteme, die auf ungesichertem DNS-Transport basieren, werden in einer DNS-over-HTTPS-Umgebung aufgrund der durch TLS bereitgestellten Vertraulichkeit und Integritätsschutz nicht funktionieren.

Einige HTTPS-Client-Implementierungen führen Echtzeit-Drittanbieter-Prüfungen des Widerrufsstatus der von TLS verwendeten Zertifikate durch. Wenn diese Prüfung als Teil des DoH-Server-Verbindungsverfahrens durchgeführt wird und die Prüfung selbst eine DNS-Auflösung erfordert, um eine Verbindung zum Drittanbieter herzustellen, kann ein Deadlock auftreten. Die Verwendung von Online Certificate Status Protocol (OCSP) [RFC6960]-Servern oder Authority Information Access (AIA) für das Abrufen von Certificate Revocation Lists (CRL) sind Beispiele dafür, wie dieser Deadlock auftreten kann.

Um die Möglichkeit eines Deadlocks zu mindern, SOLLTE die DoH-Servern gegebene Authentifizierung NICHT auf DNS-basierten Verweisen auf externe Ressourcen im TLS-Handshake basieren. Für OCSP kann der Server den Zertifikatsstatus als Teil des Handshakes bündeln, indem er einen für die TLS-Version geeigneten Mechanismus verwendet.

Ein DoH-Client kann ein ähnliches Bootstrap-Problem haben, wenn die HTTP-Anfrage den Hostnamen-Teil des DNS-URI auflösen muss. Genau wie die Adresse eines traditionellen DNS-Nameservers nicht ursprünglich von demselben Server bestimmt werden kann, kann ein DoH-Client seinen DoH-Server nicht verwenden, um den Hostnamen seines DoH-Servers aufzulösen.

Letztes Update am