Zum Hauptinhalt springen

9. Security Considerations (Sicherheitsüberlegungen)

Der Betrieb von DNS über HTTPS basiert auf der Sicherheit des zugrunde liegenden HTTP-Transports. Dies mildert klassische Amplifikationsangriffe für UDP-basiertes DNS. Implementierungen, die HTTP/2 verwenden, profitieren vom TLS-Profil, das in Abschnitt 9.2 von [RFC7540] definiert ist.

Verschlüsselung auf Sitzungsebene hat bekannte Schwächen in Bezug auf Datenverkehrsanalyse, die bei DNS-Abfragen besonders ausgeprägt sein könnten. HTTP/2 bietet weitere Ratschläge zur Verwendung von Komprimierung (siehe Abschnitt 10.6 von [RFC7540]) und Padding (siehe Abschnitt 10.7 von [RFC7540]). DoH-Server können auch DNS-Padding [RFC7830] hinzufügen, wenn der DoH-Client es in der DNS-Abfrage anfordert.

Die HTTPS-Verbindung bietet Transportsicherheit für die Interaktion zwischen dem DoH-Server und dem Client, bietet jedoch nicht die Antwortintegrität von DNS-Daten, die durch DNSSEC bereitgestellt wird. DNSSEC und DoH sind unabhängige und vollständig kompatible Protokolle, die jeweils unterschiedliche Probleme lösen. Die Verwendung des einen verringert weder den Bedarf noch den Nutzen des anderen.

Es liegt in der Wahl eines Clients, entweder eine vollständige DNSSEC-Validierung von Antworten durchzuführen oder dem DoH-Server zu vertrauen, die DNSSEC-Validierung durchzuführen, und das AD-Bit (Authentic Data) in der zurückgegebenen Nachricht zu überprüfen, um festzustellen, ob eine Antwort authentisch war oder nicht.

Abschnitt 5.1 beschreibt die Interaktion dieses Protokolls mit HTTP-Caching. Ein Angreifer, der den vom Client verwendeten Cache kontrollieren kann, kann die DNS-Sicht dieses Clients beeinflussen. Dies unterscheidet sich nicht von den Sicherheitsimplikationen des HTTP-Cachings für andere Protokolle, die HTTP verwenden.

In Abwesenheit von DNSSEC-Informationen kann ein DoH-Server einem Client als Antwort auf eine DNS-Abfrage ungültige Daten geben. Abschnitt 3 verbietet die Verwendung von DoH-DNS-Antworten, die nicht von konfigurierten Servern stammen. Dieses Verbot garantiert keinen Schutz vor ungültigen Daten, reduziert aber das Risiko.

Letztes Update am