AVM liefert derzeit die Version 7.20 für die gängigen Modelle aus. Darunter sind viele neue Funktionen und Verbesserungen enthalten. Eine davon ist “DNS over TLS”. Bei “DoT” handelt es sich um ein Protokoll, mit dem DNS Abfragen per TLS verschlüsselt über Port 853 übertragen werden. Der Vorteil von verschlüsselten DNS Abfragen besteht unter anderem darin, dass ein unbefugtes Mitlesen des Datenverkehrs nicht mehr möglich ist. Dadurch lässt sich durchaus die Privatsphäre der Anwender besser schützen. Da nicht jeder DNS Server “DoT” unterstützt, ist man auf vor allem auf große Anbieter wie z.B. Google, Cloudflare oder Quad9 angewiesen. Hierbei ist es eine Vertrauensfrage, die sich jeder selbst beantworten muss, ob man den Dienst nutzen möchte oder nicht.
Ebenso ist es durchaus möglich, dass in gewissen Netzen der Port 853 gesperrt wird und DoT somit nicht mehr funktioniert. Auf der Fritzbox lässt sich hierfür ein Fallback auf unverschlüsselte DNS Abfragen aktivieren.
Neben “DNS over TLS” gibt es noch “DNS over HTTPS”. Hierbei wird über den HTTPS Standardport 443 die DNS Abfrage verschlüsselt. Eine Unterscheidung, ob es sich um eine DNS Abfrage oder um Web Datenverkehr handelt, ist so nicht mehr ersichtlich. In der Praxis wird DoT eine höhere Geschwindigkeit nachgesagt. AVM hat sich bei der Implementierung ausschließlich auf “DoT” konzentriert.
Auf der Fritzbox werden die DNS Server unter dem Menüpunkt “Internet/Zugangsdaten/DNS-Server” definiert. Im folgendem Beispiel werden die DNS Server von Cloudflare verwendet.
Um jetzt noch “DoT” zu aktivieren, muss im unteren Bereich die Konfiguration fortgesetzt werden.
Wichtig hierbei ist, dass die Auflösungsnamen der DNS Server die “DNS over TLS” anbieten mit angegeben werden. Eine Liste der gängigen Server lässt sich auf dem Wikipedia Eintrag zu “DoT” einsehen.
Nachdem die Konfiguration aktiviert wurde, lassen sich die gesetzten Einstellungen über den Online Monitor der Fritzbox prüfen.
Cloudflare bietet ebenfalls eine Testseite an, mit der die Konfiguration überprüft werden kann. https://www.cloudflare.com/ssl/encrypted-sni/
Vertraut man einem DNS Anbieter, ist es sicher nicht verkehrt, “DoT” zu aktivieren, um dadurch alle DNS Abfragen zu verschlüsseln.