Plötzlich unmengen an "HTTPS" statt A oder AAAA im Dashboard

Moin,

seit 2 Tagen ist plötzlich eine Statistik in meinem Dashboard von ca. 0.1% auf 6% vom Total hochgesprungen, nämlich HTTPS.

Was genau sagt diese Statistik aus und was wir hier getrackt? Kenne DNS Anfragen beim Pi-Hole nur als A, AAAA, SRV etc.

Hier ein Screenshot, vielleicht weis ja jemand, was die mit ? markierten Einträge bedeuten. z.B. NODATA und N/A bei Google hosts, die meines wissens definitiv per https:// funktionieren und ich hier auch Funktionsausfall erwarte würde, wenn die https:// Verbindungen zu Google beim DNS mit NODATA/NA scheitern.

Zudem es an anderer Stelle in den PiHole Logs auch die entsprechenden Einträge für die A und AAAA Anfragen für die Google Domains stehen. Wozu noch das zusätzliche HTTPS in der Statistik?

Der starke Anstieg scheint zeitlich mit dem Einschalten einer Home Assistant Instanz zusammenzuhängen.

Es handelt sich tatsächlich um eine neuere Art von DNS-Abfragetyp namens "Service Binding". Es ermöglicht die Bereitstellung zusätzlicher https-Verbindungsinformationen gleichzeitig mit der DNS-Suche, was Zeit spart und die Dinge beschleunigt. Es ist noch kein vollständiger Standard, aber Apple hat es in iOS 14 übernommen und so an Zugkraft gewonnen, und Pi-hole kann diese Art von Abfrage als HTTPS anzeigen. (Übersetzt mit Google)

Kannst Du das eindeutig zuordnen?

Diese Anfragen vom Typ 65/HTTPS bieten prinzipiell die Möglichkeit, dem anfragenden Client die Auswahl und Verwendung eines für eine Domäne spezifischen DNS-Servers zu ermöglichen. Der zugehörige, noch nicht verabschiedete Standard existiert schon seit ein paar Jahren als Entwurf, der immer wieder etwa halbjahresweise verschoben wird, siehe z.B. "OTHER" query to list as SVCB/HTTPS type - #2 by DL6ER.

Im Klartext bedeutet dies, dass ein vom System vorgegebener DNS-Server (wie z.B. Pi-hole) von so einem Client im Erfolgsfall übergangen werden kann.

Aus diesem Grund werden Type 65/HTTPS-Anfragen von einigen öffentlichen DNS-Resolvern blockiert, z.B. von OpenDNS:

65-HTTPS-blocked

Die Anfrage an sich bedeutet dabei noch nicht, dass ein Client dies auch tatsächlich tut, und solange Pi-hole hier (wie in Deinem BIldschirmfoto) nur NODATA oder NXDOMAIN antwortet, ist dies prinzipiell nicht möglich.

So exakt eindeutig leider nicht. Allerdings:
Der Anstieg beginnt ca. am 7.11. An dem Tag habe ich auch den Home Assistant (mit InfluxDB, Grafana, Prometheus) Docker Stack hochgefahren. Weswegen es augenscheinlich erst einmal danach aussieht.

Wunderlich nur, dass meine Windows PCs nun die meisten dieser HTTPS Anfragen schicken. Davor waren für den 0.1% HTTPS Anteil primär moderne Samsung Handys verantwortlich. Seit der Docker Stack läuft: Neu dazu gekommen sind auch diese _8123._https.mx-nas Domains, das kann ich zumindest sicher dem Homeassistant zuordnen.

Und vielen Dank für die ausführlichen Erklärungen ^^ :slight_smile:

This topic was automatically closed 21 days after the last reply. New replies are no longer allowed.