ich finde ja Anleitungen wie ich pi-hole dazu bringe DoH zur DNS-Auflösung zu nutzen. Vorteil: ich schicke keine ungeschützte DNS-Abfrage durchs Netz... Frage ob man das in DE braucht. In Zensurstaaten sicher nicht verkehrt ...
Aber ist es auch möglich pi-hole als DoH-Server zu nutzen? In Firefox kann ich ja einen DoH-Server definieren - gut - hier kann ich DoH deaktivieren und nutze klassisch DNS - passt. Aber wenn Chrome, APPs etc. DoH fix implementieren - hilft kein Pi-Hole mehr. Daher die Überlegung:
Die App muss ja trotzdem einmal klassisch DNS machen um den DoH-Server aufzulösen der nun genutzt werden soll. Nennen wir ihn mal doh.google.tld
Diese DNS-Abfrage kann ich manipulieren. Ich sage pi-hole => löse doh.google.tld in ip.von.pi.hole auf. Sämtliche DoH-Abfragen von App xyz landen nun am Pi-Hole der entsprechend damit umgeht.
Klingt einfach - zu einfach - vermutlich sind hier die TLS-Zertifikate ein Problem? Dann statte ich den pi-hole mit MEINEM Zertifikat aus - die App/Browser erkennt ein gültiges Zertifikat -> alles grün. Aber auch hier denke ich womöglich zu einfach ... auf diese Weise wäre ein massives manipulieren von DoH möglich. Zensurländer würden einfach alles auf eigene DoH-Server umleiten. Mhhh
Also bleibt am ende: es gibt keine Lösung wenn Apps/Browser/Betriebssysteme eigene, feste DoH-Server setzen?
Ja, davon kann man wohl ausgehen. Ansonsten wäre das ganze Unterfangen sinnlos wie @WulfmanGer an einem einfachen Beispiel schon erörtert hat.
Ja und Nein, das ist gerade das "Fiese" am DNS-over-HTTPS Protokoll, wenn Du so willst: Es sieht wie ganz normaler HTTPS-Verkehr aus. Das einzige was man tun könnte wäre, einen entsprechend leistungsfähigem Router z.B: mit iptables vorausgesetzt, HTTPS Verkehr zu bestimmten IPs "umzuleiten" und dann auf dem Pi-hole mit einem passenden Zertifikat entgegen zu nehmen.
All das wird aber sehr aufwendig und ich baue/hoffe weiter darauf, dass DoH keine Zwangs-Implementierung, sondern sich immer zumindest deaktivieren lassen wird. Das Problem ist, dass es doch einen großen Reiz hat. Während die DNS Anfragen z.Zt. mehrheitlich an die jeweiligen Telekomunternehmen gehen, könnten gerade Browser wie Chrome einfach fix definieren, dass DNS-Anfragen per DoH nur an Google DNS-Server abgesetzt werden. Dann ist die "Überwachung" endlich perfekt
Zum Schluss noch meine eigene Meinung: Ich bin durchaus sensibel was meine Informationen und deren Verbreitung im Internet angeht. Ich habe keinen (aktiv genutzten) Account bei Google, ich habe keinen bei F.book, etc. Als DNS-Lösung verwende ich ein Pi-hole mit darauf installiertem rekursiven unbound (entsprechend der Anleitung, die ich hier geschrieben habe). Die Anfragen gehen zwar unverschlüsselt übers Netzwerk sind jedoch durch DNSSEC weitestgehend vor Manipulation geschützt.
Selbstverständlich sei sich Mozilla des Problems bewusst gewesen, dem im Web üblichen Tracking Tür und Tor zu öffnen. Aber gerade deshalb habe man Cloudflare strenge Datenschutzbestimmungen auferlegt, nach denen der Partner DNS-Verkehrsdaten innerhalb eines Tages verwerfen muss.
Das sind 24 Stunden zu viel, und unnötig ist es auch
