Das DNS-Schlüsselproblem: Warum verschlüsselte Protokolle an der Verteilung scheitern

Viele Nutzer merken erst, wenn etwas nicht mehr klappt: Ihre verschlüsselten DNS-Anfragen kommen nicht mehr durch. Die Technik dahinter funktioniert – nur der Weg dorthin ist blockiert.

Protokolle wie DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT) sollen verhindern, dass Dritte sehen, welche Domains jemand aufruft. Sie verschlüsseln die Namensauflösung und schützen so vor Zensur und Ausspähen. Doch genau hier liegt das Dilemma: Verschlüsselung nützt wenig, wenn man die Schlüssel gar nicht erst bekommen kann.

Wenn Zensoren nicht mehr knacken, sondern verhindern

Früher reichte es oft, Inhalte direkt zu sperren. Heute reicht es manchen Netzbetreibern, den Zugriff auf die Schlüssel zu erschweren. Statt komplette Verbindungen zu kappen, reicht es, die Infrastruktur temporär zu drosseln.

In China beobachteten Nutzer 2021 ein merkwürdiges Verhalten: DNS-over-HTTPS funktionierte mal, dann wieder nicht. Die Server waren erreichbar, aber bestimmte Anfragen wurden kurz blockiert – lange genug, um den Dienst unbrauchbar zu machen. DNS-over-TLS wurde komplett unterbunden, klassische DNS-Anfragen mit falschen IP-Adressen vergiftet.

Das Ergebnis: Nutzer geben auf, weil die verschlüsselte Lösung zu unzuverlässig wird.

Das Architekturproblem

Verschlüsselte Verbindungen brauchen Schlüssel. Diese Schlüssel liegen meist im DNS. Wer das DNS kontrolliert, kann also schon vor der eigentlichen Verschlüsselung eingreifen.

Ein Beispiel: Encrypted Client Hello (ECH) soll verhindern, dass der aufgerufene Domainname im Klartext übertragen wird. Doch bevor ein Browser ECH nutzen kann, muss er die passenden Schlüssel aus dem DNS holen. Ist dieser Weg blockiert, bleibt ECH wirkungslos.

Was das für Entwickler bedeutet

Viele Annahmen im Webhosting und bei Domain-Anbietern halten in restriktiven Netzen nicht:

• DNS-Records sind nicht überall erreichbar.
• Verschlüsselte Protokolle schützen zwar die Anfrage, nicht aber den Weg zum Schlüssel.
• Zensur muss nicht radikal sein – gezielte Verzögerungen reichen oft aus.

Mögliche Wege aus dem Dilemma

Betreiber setzen deshalb vermehrt auf:

• Dezentrale Schlüsselverteilung, etwa über DNSSEC oder verteilte Ledger
• Verschleierungstechniken, die DNS-over-HTTPS-Traffic unauffälliger machen
• Globale Anycast-Netze, um einzelne Endpunkte schwerer blockierbar zu machen
• Anwendungsinterne Schlüsselverteilung, die nicht auf DNS angewiesen ist

Keine dieser Lösungen ist perfekt. Alle bringen Abstriche bei Geschwindigkeit, Komplexität oder Bedienbarkeit mit sich.

Fazit

Privatsphäre im Netz hängt nicht nur von Technik ab, sondern auch davon, wer die Leitungen kontrolliert. Wer Systeme plant, muss heute mitbedenken, wie ein Angreifer mit Netzzugang den Zugriff erschweren könnte – und wie man darauf reagiert.

Das DNS-Schlüsselproblem ist noch nicht gelöst. Die Antworten werden wahrscheinlich dezentraler und etwas komplizierter sein als die ersten verschlüsselten DNS-Protokolle es versprachen.