DNS-over-QUIC wird zum offiziellen Standard
Wir sind stolz darauf, dass DNS-over-QUIC, ein sehr vielversprechendes Protokoll, zu einem vorgeschlagenen Standard geworden ist. Wir sind überzeugt, dass DNS-over-QUIC besser als andere gängige Alternativen (DNS-over-HTTPS, DNS-over-TLS) ist und das Potenzial hat, alte unverschlüsselte DNS-Protokolle vollständig zu ersetzen. Aber das Wichtigste zuerst.
Die Geschichte von DNS-over-QUIC
DNS-over-QUIC (abgekürzt DoQ) ist ein relativ neues Protokoll für die Übertragung von DNS-Anfragen: Es wurde erst im Mai 2022 standartisiert. Zum Vergleich: DNS-over-TLS wurde 2016 standardisiert und DNScrypt im Jahr 2011.
Vor etwa eineinhalb Jahren wurde AdGuard DNS der erste öffentliche DNS-Auflöser, der das neue DoQ-Protokoll unterstützt. Damals befand sich der DoQ-Standard noch im Entwurfsstadium: Es handelte sich um ein Experiment, das noch nicht überall eingesetzt werden konnte.
Und schließlich, Mitte Mai dieses Jahres, änderte sich die Situation: DNS-over-QUIC wurde als RFC (Request for Comments — ein Dokument, das Online-Protokolle, Methoden, Programme oder Forschungsarbeiten für das Internet beschreibt) veröffentlicht, erhielt die Nummer 9250 und ist seitdem als vorgeschlagener Standard (Proposed Standard) zu behandeln. Dieser RFC hat noch einen weiten Weg vor sich, bevor er zu einem Internet-Standard wird, aber bereits jetzt hat sich DNS-over-QUIC als stabil genug erwiesen und hat eine rigorose Begutachtung und Konsensfindung der Gemeinschaft durchlaufen, um weltweit implementiert zu werden.
Aber zuerst wollen wir darüber sprechen, was DNS-over-QUIC ist und warum es besser als andere Versionen ist.
Warum ist DNS-over-QUIC lohnenswert?
Wir haben früher darüber geschrieben, was DNS-over QUIC ist. Wenn Sie gerne ins Detail eintauchen möchten, können Sie diesen Artikel zuerst lesen. Kurz gesagt, DNS-over-QUIC ist ein DNS-Protokoll, das das QUIC-Netzwerkprotokoll zur Übertragung von DNS-Anfragen verwendet.
Übertragungsschema von TCP-Datenpaketen
Übertragungsschema von QUIC-Datenpaketen
Im Vergleich zu einem anderen, sehr beliebten Protokoll, TCP, ist QUIC schneller, zuverlässiger und bietet mehr Verschlüsselungsmöglichkeiten. Und DNS-over-QUIC übernimmt alle seine Vorteile.
Hier sind die wichtigsten davon:
- Es verschlüsselt den DNS-Verkehr. Niemand außer Ihnen kann sehen, welche Websites Sie besuchen.
- QUIC wurde entwickelt, um das Problem des „head-of-line-blocking” zu lösen, d. h. es funktioniert besser in Netzen mit einer hohen Paketverlustrate (z. B. mobile Daten in Aufzügen oder Tunneln).
- Der QUIC-Standard unterstützt die sogenannte „Verbindungsmigration” (Connection Migration). Wenn Sie Ihr Haus verlassen und Ihr Telefon vom WLAN zum Mobilfunknetz wechselt, wird die QUIC-Verbindung im Gegensatz zu anderen Verbindungen nicht unterbrochen. Leider ist diese Funktion noch nicht implementiert, aber wir hoffen, dass sich dies bald ändert.
- Mit QUIC können Sie viel schneller eine Netzwerkverbindung herstellen. Wie bei der „Verbindungsmigration” ist dies besonders nützlich, wenn Sie mobil unterwegs sind. Wenn DNS-over-QUIC implementiert ist, wird die Verbindung doppelt so schnell aufgebaut wie mit DNS-over-TLS.
Wie hat sich der Standard im Vergleich zu den Entwürfen verändert?
DNS-over-QUIC kann nun nicht nur für rekursive DNS-Server (wie AdGuard DNS), sondern auch für autoritative Server verwendet werden. Langfristig wird es damit möglich sein, nicht nur den Traffic vom Client (Ihrem Computer oder Telefon) zum rekursiven Server zu verschlüsseln, sondern den gesamten DNS-Traffic. Das heißt, im Gegensatz zu DNS-over-HTTPS ist DoQ ein umfassenderes Protokoll, das alle Situationen abdecken kann, in denen zuvor das unverschlüsselte Protokoll verwendet wurde.
Was hat sich für AdGuard geändert?
Viele AdGuard-Produkte unterstützen DoQ schon seit langem, aber wir möchten hier einige Dinge erläutern:
- AdGuard DNS unterstützt jetzt den Standard vollständig. Entwurf-Versionen werden auch unterstützt sein.
- Was AdGuard Home betrifft, hat es den neuen Standard bereits übernommen.
- Alle unsere Apps werden ebenfalls auf den Standard umgestellt; die Markierung „experimentell” wird endgültig aus der Benutzeroberfläche entfernt. In zukünftigen Versionen planen wir, DoQ als Standardprotokoll zu implementieren (anstelle von DNS-over-HTTPS, das im Moment unsere Standardwahl ist).
Fast alle unsere DoQ-bezogenen Entwicklungen sind öffentlich zugänglich. Wir unterstützen und aktualisieren sie regelmäßig. Hier sind einige davon:
- dnslookup ist ein einfaches Dienstprogramm zur Durchführung von DNS-Anfragen. Es unterstützt alle gängigen modernen Protokolle: DoH, DoT, DNSCrypt und natürlich DoQ.
- Mit AdGuard Home können Sie Ihren eigenen DoQ-Server einrichten. Wenn Sie AdGuard Home als öffentlichen Server betreiben, können Sie darauf Verschlüsselung einrichten.
- dnsproxy ist ein einfacher DNS-Proxy-Server mit Unterstützung für DoH, DoT, DoQ und DNSCrypt.
- DnsLibs ist eine C++ Bibliothek, die wir in unseren AdGuard Produkten verwenden. Sie können sie gerne verwenden, um DoQ in Ihre eigene Anwendung einzubinden.
Wir erwarten auch, den Code des neuen AdGuard DNS in naher Zukunft zu veröffentlichen.
Wir sind wirklich begeistert davon, dass die Implementierung von DNS-over-QUIC als Standard folgende Vorteile mit sich bringt: eine schnellere Verbindung, bessere Verschlüsselung, eine geringere Paketverlustrate, „Verbindungsmigration” und viel mehr. Und wir freuen uns darauf, alle diese Vorteile zu nutzen! In der Zwischenzeit können Sie lesen, wie man DoQ in AdGuard für iOS und AdGuard für Android einrichtet, oder einen öffentlichen AdGuard DNS-Server konfigurieren, der das QUIC-Protokoll verwendet (Sie finden ihn im Abschnitt „Unsere Serveradressen”). Oder erstellen Sie Ihren eigenen privaten AdGuard DNS-Server, wählen Sie ein beliebiges Protokoll (z. B. DoQ!) und verwalten Sie alle Ihre DNS-Anfragen selbst!