DNS over TLS (DoT) / DNS over HTTPS (DoH)

Neben den klassischen, rekursiven Nameservern (DNS-Resolvern) stellt das SCC im Rahmen eines Probebetriebs auch DNS-Resolver für die Nutzung via TLS (DNS over TLS) und HTTPS (DNS over HTTPS) bereit.

Diese können, ja nach Anwendungs oder Betriebssystem, statt oder zusätzlich zu den klassischen Nameservern konfiguriert werden. Bei der Nutzung von DNS over TLS und DNS over HTTPS werden DNS-Anfragen an die DNS-Server durch das Endsystem verschlüsselt und die Identität der DNS-Server verifiziert, was zu einer Verbesserung von Privatsphäre und Sicherheit führt.

Der Dienst wird ausschließlich über IPv6 bereitgestellt.

DNS over TLS

Der DNS-over-TLS-Dienst des SCC ist unter den folgenden IP-Adressen innerhalb des KITnet verfügbar:

  • 2a00:1398::53:853:1
  • 2a00:1398::53:853:2

Als Hostname wird dot.scc.kit.edu verwendet. Dieser kann bzw. muss je nach verwendeter Anwendung bzw. verwendetem Betriebssystem angegeben werden, damit die Identität des DNS-Servers verifiziert werden kann.

DNS over HTTPS

Der DNS-over-HTTPS-Dienst des SCC ist unter der URL https://doh.scc.kit.edu/dns-query innerhalb des KITnet verfügbar.

Alternativ können die folgenden IP-Adressen konfiguriert werden:

  • 2a00:1398::53:443:1
  • 2a00:1398::53:443:2

Als Hostname wird doh.scc.kit.edu verwendet. Dieser muss je nach verwendeter Anwendung bzw. verwendetem Betriebssystem angegeben werden, damit die Identität des DNS-Servers verifiziert werden kann.

Betriebssystem/Anwendungs-Unterstützung

Im Folgenden werden Betriebssystemen und Anwendungen, welche DNS over TLS bzw. DNS over HTTPS unterstützen, aufgelistet. Die Liste ist dabei nicht vollständig.

  • Android: Unterstützung von DNS over TLS seit Android 9 via Systemeinstellungen
  • Linux: Unterstützung von DNS over TLS durch aktuelle Versionen von systemd-resolved
  • Windows 11: Unterstützung von DNS over HTTPS nach manueller Registrierung der DNS-over-HTTPS-Server
  • iOS und macOS: Unterstützung von DNS over HTTPS seit iOS 14 bzw. macOS 11 mittels Konfigurationsprofilen

 

systemd-resolved

Datei /etc/systemd/resolved.conf:

[Resolve]
DNS=2a00:1398::53:853:1#dot.scc.kit.edu 2a00:1398::53:853:2#dot.scc.kit.edu

DNSOverTLS=yes

 

Firefox und Thunderbird

Native Unterstützung von DNS over HTTPS.

Einstellungen → Verbindungs-Einstellungen → Einstellungen...

  • DNS über HTTPS aktivieren: Ja
  • Anbieter verwenden: Benutzerdefiniert
  • Benutzerdefiniert: https://doh.scc.kit.edu/dns-query

 

Google Chrome

Native Unterstützung von DNS over HTTPS.

Einstellungen → Datenschutz und Sicherheit → Sicheres DNS verwenden

  • Mit: Benutzerdefiniert
  • URL: https://doh.scc.kit.edu/dns-query