Sicherheit

DNS over TLS in der FritzBox aktivieren und sicherer surfen

Mit einem verschlüsselten DNS könnt Ihr Euer Surf-Erlebnis nicht nur beschleunigen, sondern auch sicherer machen.

Das Internet ist ein hochkomplexes Konstrukt. Eines der wichtigsten Elemente ist das Domain-Name-System, das Domainnamen in IP-Adressen überführt. Jedes Mal, wenn Ihr eine Website wie Tutonaut.de ansurft, fragt Euer Rechner dazu bei einem DNS-Server nach, welche IP-Adresse sich dahinter verbirgt, etwa bei uns 62.113.218.149. Das dient letztlich der Usability des Webs, schließlich kann sich niemand kryptische IP-Adressen merken. Der Betreiber des DNS-Server – im Normalfall Euer Internet-Provider – kann aber immer sehen, was Ihr so aufruft.

Zudem gibt es einige sicherheitstechnische Bedenken: DNS-Server können einerseits manipuliert werden und auf "falsche" Seiten verweisen. Dadurch setzen zum Beispiel Zensurmaßnahmen oft im DNS an. Andererseits wird die Anfrage unverschlüsselt übertragen, wodurch jeder Server unterwegs nicht nur mitlesen, sondern die Anfrage gegebenenfalls auch manipulieren kann. Kurzum: Das Domain-Name-System in seiner puren Form ist weder sicher, noch zuverlässig – Grund genug, es mit DNS over TLS zu verschlüsseln. In der FritzBox geht das mit wenigen Handgriffen.

Alternativen DNS verwenden

Der erste Schritt, um das Domain-Name-System sicherer zu machen, ist, einen alternativen DNS-Anbieter zu verwenden. Im Zweifel hat das auch noch andere Vorteile: Gilt etwa in Eurem Heimatland eine gewisse Zensur, die über die Internetprovider durchgeführt wird – das ist in Deutschland etwa bei Seitensperrungen üblich – könnt Ihr mit einem alternativen DNS gut ausweichen. Die wohl interessantesten Dienste dieser Art sind Google und 1.1.1.1 von Cloudflare, es gibt aber eine Vielzahl an Anbietern, etwa OpenDNS, VeriSignDNS oderQuad9. Bei allen erhaltet Ihr je zwei IP-Adressen für IPv4 und IPv6, mit denen Ihr den alternativen DNS in den Einstellungen Eurer Routers oder Computers einstellen könnt. Bei der FritzBox tragt Ihr Ihr diesen Server im Menüpunkt Internet -> Zugangsart -> DNS-Server ein.

Ein alternativer DNS ist schnell aktiviert.
Ein alternativer DNS ist schnell aktiviert.

DNS over TLS in der FritzBox aktivieren

In einem zweiten Schritt könnt Ihr im Menüpunkt Internet -> Zugangsart -> DNS seit FritzOS 7.20 die verschlüsselte Übertragung zum DNS-Server aktivieren. Der Vorteil ist, dass Anfragen an den DNS unterwegs nicht mehr gelesen und dementsprechend auch nicht mehr manipuliert werden können. Aktiviert hierfür den Haken "Verschlüsselte Namensauflösung im Internet (DNS over TLS)" und aktiviert außerdem das Häkchen "Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen". Wenn Ihr sicherstellen wollt, dass alles immer zuverlässig funktioniert, könnt Ihr auch den Haken "Fallback auf unverschlüsselte Namensauflösung im Internet zulassen" aktivieren. Allerdings bedeutet das, dass Ihr nicht immer sicher sein könnt, ob Eure DNS-Verbindung geschützt ist. Wir empfehlen daher, den Haken zunächst eine Weile aus zu lassen. Wenn Ihr Schwierigkeiten habt, Websites zu öffnen oder bestimmte Dienste aufzurufen, könnt Ihr ihn wieder aktivieren.

Das Fallback-System kann die Zuverlässigkeit erhöhen, reduziert aber die Sicherheit.
Das Fallback-System kann die Zuverlässigkeit erhöhen, reduziert aber die Sicherheit.

DNS over TLS-Server einsetzen

Damit das Ganze funktioniert und Ihr die neuen Einstellungen abspeichern könnt, benötigt Ihr außerdem noch den DNS-over-TLS-Server Eures DNS-Anbieters. Bei diesem handelt es sich nicht um eine IP-Adresse, sondern um einen Domainnamen: Bei 1.1.1.1 von Cloudflare ist das zum Beispiel 1dot1dot1dot1.cloudflare-dns.com, bei Google dns.google. Diesen müsst Ihr im Feld "Auflösungsnamen der DNS-Server" eintragen. Anschließend könnt Ihr auf "Übernehmen" klicken.

Pro Server eine Zeile.
Pro Server eine Zeile.

DNS-over-TLS sorgt für Sicherheit und Anonymität

Das war es dann auch schon: Eure DNS-Anfragen werden ab sofort verschlüsselt an Euren neuen DNS-Provider übertragen: Ihr habt einerseits den Vorteil, dass Ihr mit dem alternativen DNS möglicherweise schneller unterwegs seid, weil der Dienst mehr Kapazitäten hat als der DNS Eures Providers. Andererseits könnt Ihr sicherstellen, dass Ihr deutlich schlechter ausgehorcht und Eure Anfragen auch nicht mehr unterwegs manipuliert werden können. Kurzum: Eine gute Angelegenheit, die nur wenige Handgriffe in den Router-Einstellungen benötigt!

DNS-over-TLS hat leider einen großen Nachteil

Leider hat DNS-over-TLS auch einen großen Nachteil: Da die Kommunkation mit dem verschlüsselten DNS-Server über den Port 853 läuft, muss dieser geöffnet sein und darf nicht vom Provider oder Internet-Anbieter blockiert werden. Das ist in Deutschland unwahrscheinlich, aber falls Ihr die DNS-over-TLS-Technologie in zensurfreudigen Drittländern verwenden wollt, solltet Ihr das im Hinterkopf haben: Falls Ihr partout nicht ins Internet kommen solltet, ist der Service einfach geblockt.

Christian Rentrop

Diplom-Journalist, Baujahr 1979. Schreiberling in Totholzwäldern und auf digitalen Highways. Öfter auch auf der Vespa oder mit dem Wohnwagen unterwegs. Seit 2020 Tochtervater, dementsprechend immer sehr froh über eine kleine Kaffeespende.

11 Kommentare

  1. Hi Christian,

    eine kurze Frage zur DNS over TLS Config für Cloudflare: bei einigen Seiten habe ich nehmen den Hostnamen den Du hier auch erwähnt hast 1dot1dot1dot1.cloudflare-dns.com noch zusätzlich one.one.one.one gelesen. Reicht für Cloudflare einder der beiden Hostnamen zur Fritzbox Config? Oder sollte man beide nehmen?

    LG Pascal

  2. Moin Christian,, vorab danke für das Howto.

    Fritzbox sagt … 1.1.1.1 2606:4700:4700::1001 (aktuell genutzt für Standardanfragen – DoT verschlüsselt) 2606:4700:4700::1111 (DoT verschlüsselt) 1.0.0.1 (DoT verschlüsselt) 1.1.1.1 (DoT verschlüsselt) 2001:4860:4860::8844 (DoT verschlüsselt) 2001:4860:4860::8888 (DoT verschlüsselt) 8.8.8.8 (DoT verschlüsselt) 8.8.4.4 (DoT verschlüsselt) 2606:4700:4700::1111 8.8.8.8 2001:4860:4860::8888

    Scheint also zu funktionieren. Jedoch meldet mein Iphone weiterhin.Datenschutzwarnung: Dieses Netzwerk blockiert verschlüsselten DNS-Verkehr…etc. pp..

    obwohl ich die „Fallback auf unverschlüsselte Namensauflösung im Internet zulassen“ Funktion deaktiviert habe.

    Mache ich was falsch? Hat jemand noch einenTipp für mich was ich tun muss damit mich das Iphone nicht mehr warnt?. Danke! VG, Tim

    1. Hallo Tiim, bei meiner FB7590 muss ich zwar nur einen DNS Server für v4 und v6 eingeben, aber die Verschlüsselung funktioniert dann auch. Die iPhone Meldung ist aber erst dann weg, wenn du einmal das Netzwerk ignorierst und neu anmeldest und auf Private MAC Adresse im IPhone umstellst. Gr origade

    2. Hallo Tim, damit die Datenschutz Warnung weg ist musst du dein Netzwerk in der FRITZ!Box einmal ignorieren und neu anmelden. Danach noch im iPhone „private Mac Adresse verwenden“ aktivieren. Gr origade

  3. Kann es sein, dass diese Funktion wieder aus dem FritzOS entfernt wurde? Ich hatte damals mit meiner 7590 Probleme und hatte es wieder abgeschaltet. Wollte es jetzt wieder einschalten, aber im Bereich Zugangsdaten – DNS-Server kann ich nur noch alternative Server eintragen, der DoT Bereich ist weg. (Experten Ansicht ist eingeschaltet)

    Bei meiner 6820 v3 das Gleiche, kein DoT zu finden….

  4. Bei mir habe ich durch die Aktivierung keine Probleme bisher verzeichnen können. Allerdings kann ich auch nicht von einem Geschwindigkeitszuwachs sprechen. Ich hätte auch eher gedacht, dass durch die erhöhte Sicherheit die Geschwindigkeit leicht abnimmt. Vielleicht merkt man die minimale Veränderung (beide Richtungen) auch gar nicht.

    Für mich wäre es noch interessant zu wissen, ob in irgendeiner Form der Ping durch diese Einstellung beeinflusst wird.

  5. Das Problem ist das AVM davon abrät DoT zu nutzen, da es zu Verbindungsproblemen kommen kann und Webseiten nicht mehr erreichbar sind. Nur ein Neustart der FritzBox hilft. Das ganze kann man umgehen indem man DoT bei Android im privaten DNS eingibt und bei iOS sich ein DNS Profil installiert. Auf beiden Systemen greift es im Wlan als auch bei Mobilen Daten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Schaltfläche "Zurück zum Anfang"