• Namensauflösung im #Internet: Fragmentierung schlimmer als Konzentration
    https://www.heise.de/news/Namensaufloesung-im-Internet-Fragmentierung-schlimmer-als-Konzentration-607000

    25.06.2021 von Monika Ermert - Mit #IPv6 und I#Pv4 hat das Internet schon keine einheitlichen Adressen. Jetzt steht auch die Einheitlichkeit der DNS-Auflösung auf dem Spiel, fürchten Experten.

    Dem Internet droht sein Charakter als universelle Kommunikationsplattform abhanden zu kommen. Die größte Gefahr sei laut Fachleuten wie Geoff Huston von der asiatisch-pazifischen Internet Registry #APNIC nicht etwa die Konzentration der DNS-Auflösung auf wenige Konzerne, sondern die Fragmentierung auf verschiedene Protokolle und Client-Anwendungen. Eine solche Zersplitterung entsteht durch das Verschieben der #DNS #Namensauflösung zu den Applikationen, warnte Huston kürzlich beim Treffen der IP-Adressverwalter.

    Die Konzentration von vielen DNS-Anfragen bei nur wenigen Resolveranbietern sei nach seiner Auffassung kein großer Risikofaktor, erklärte Huston gegenüber heise online. Der Australier misst seit vielen Jahren die Verbreitung einzelner Protokolle und die Marktmacht der großen Plattformen. Im überschaubaren Feld der offenen #DNS-Resolver thront laut Hustons jüngsten Messungen einer über allem: Google.

    DNS von #Google

    Rund 15 Prozent der erfassten Erstanfragen nach einer Domain lassen die Surfer bewusst oder unbewusst von Googles Resolverfarmen beantworten. Diese sind weltweit unter den IPv4-Adressen 8.8.8.8 und 8.8.4.4 sowie unter den IPv6-Adressen 2001:4860:4860::8888, 2001:4860:4860::8844 zu erreichen. Und wenn der erste Zugriffsversuch auf eine Domain scheitert, verlässt sich zusammengenommen sogar fast ein Drittel der beobachteten Clients auf Googles Dienst.

    Es gibt freilich große kontinentale und länderspezifische Unterschiede. Surfer in vielen asiatischen und afrikanischen Ländern stützen sich fast ausschließlich auf Googles DNS-Service. Seine größte Nutzergruppe verzeichnet der Konzern ausgerechnet im souveränitätsbesessenen Indien. Inderinnen und Inder machen allein ein Fünftel der gesamten DNS-Nutzerschaft von Google aus.

    Besonders beim mobilen Internet greifen Nutzer häufig auf die kostenlosen offenen Resolver zurück. Das Betriebssystem Android schaufelt Googles Resolvern massiv Verkehr zu, bilanziert Huston. Die zunehmende Zentralisierung bei der Beantwortung von DNS-Anfragen spiegelt aus seiner Sicht letztlich nur die Konzentration der darunter liegenden Internetinfrastruktur.

    Dass viele Leute direkt oder indirekt Google nutzen, dürfe man schon für problematisch halten, antwortet Huston auf Anfrage. „Google sieht eine Menge Geheimnisse von Nutzern. Wenn wir aber Gmail, Google Docs und die allgegenwärtige Suche mitbetrachten, ist DNS fast schon ein Randproblem“, notiert Huston.

    Namensauflösung wandert in die Apps

    Der viel größere Risikofaktor ist aus seiner Sicht der Umstieg auf #DNS-over-HTTPS (#DoH). Mit der DNS-Verschlüsselung erhalten die App-Entwickler die Wahl darüber, wem sie die DNS-Anfragen schicken. Ein Beispiel dafür ist Mozillas Firefox-Browser, der auf Installationen in den USA grundsätzlich DoH verwendet und die DNS-Anfragen von US-Amerikanern an Cloudflare sendet. Das ergibt sich teils aus der Entstehungsgeschichte des Protokolls, denn Mozilla und Cloudflare haben von Anfang an dabei zusammengearbeitet. Aber die Konzentration der Firefox-generierten DNS-Anfragen bei Cloudflare liegt auch daran, dass viele Provider, die bisher unverschlüsselte DNS-Anfragen im Rahmen ihrer Internet-Angebote für Kunden aufgelöst haben, noch gar keine verschlüsselnden Resolver betreiben.

    „Das ist ein grundsätzlicher Wandel des DNS“, urteilt Huston. „Künftig wird die DNS-Anfrage kein Bestandteil der allgemeinen Infrastruktur mehr sein, sondern zu einem Applikations-spezifischen Dienst“. Dabei ist nicht vorhersehbar, welche App welches Anfrageprotokoll verwendet (#DNS-over-HTTPS, #Oblivious DNS-over-HTTPS, ...) und man kann nicht mehr erwarten, dass die DNS-Antworten über verschiedene Applikationen hinweg konsistent sind. Deshalb könne man mit Fug und Recht von einem fragmentierten Namensraum sprechen.

    Diese Ansicht und Sorge teilt auch Lars Liman vom Rootbetreiber Netnod. Wenn der Webbrowser am Laptop einen bestimmten Resolver benutzt, das Mobiltelefon und die Kalender-App aber jeweils andere, dann leidet die Konsistenz, erklärte Liman gegenüber heise online.

    „Das könnte verschiedenen Organisationen ein Werkzeug an die Hand geben, Nutzer im Internet in die eine oder andere Richtung zu bugsieren“, so Liman, und nicht alles müsse in guter Absicht geschehen. „Ich glaube, wir sind auf dem Weg zu einem neuen Internet, bei dem das Ergebnis einer Domainabfrage davon abhängig sein wird, wo man sitzt im Internet.“

    Neugierige Augen

    Die gute Absicht, DNS-Anfragen vor neugierigen Augen zu verbergen, sei so nachvollziehbar wie die Ungeduld der App-Industrie, auf die Nachrüstung von DNS-Resolvern bei Providern zu warten, bewertet Huston.

    Auf die Frage warum das Vorpreschen der App-Betreiber mit der Aufgabe des einheitlichen Namensraums einhergehen muss, antwortet Huston mit der Gegenfrage: Warum sollten diejenigen, die eine App-basierte Namensinfrastruktur unterstützen, den alten DNS-Namensraum noch in die neue Welt hinüberretten? Lokale, nicht-DNS bezogene Namen, könnten eine natürliche Weiterentwicklung sein. Solche innerhalb der App vergebene Namen könnten schnell, sicher und für alle anderen unsichtbar sein, sagt Huston, nur universell wären sie nicht mehr.

    Doch wenn eine App eine Zieldomain nicht erreichen kann, wird die Fehlersuche zum Detektivspiel. Gute Fehlermeldungen oder ausreichend Intuition vorausgesetzt, kann der Nutzer das DNS-Problem an den App-Hersteller richten. Nutzer, die den DNS-Dienst in der Zuständigkeit des Providers sehen, können sich zwar auch an dessen Hotline wenden. Diese kann das Problem aber womöglich gar nicht reproduzieren, weil ihr die App gar nicht zur Verfügung steht. Oder sie kann versuchen nachzuvollziehen, welche App DNS-Probleme macht und welchen Resolver der App-Entwickler gewählt hat. Untersteht der befragte Resolver einer bestimmten Jurisdiktion, die bestimmte Domains sperrt? Oder ist der Resolver einfach nur mit einem Defekt ausgefallen? Die Suche nach der Ursache kann jedenfalls vertrackt sein und es ist fraglich, ob Provider den Aufwand überhaupt auf sich nehmen wollen.

  • How to Enable DNS-over-HTTPS in Firefox (https://www.zdnet.com/arti...
    https://diasp.eu/p/9324210

    How to Enable DNS-over-HTTPS in Firefox

    HN Discussion: https://news.ycombinator.com/item?id=20371741 Posted by smacktoward (karma: 42629) Post stats: Points: 120 - Comments: 60 - 2019-07-06T20:28:36Z

    #HackerNews #dns-over-https #enable #firefox #how HackerNewsBot debug: Calculated post rank: 100 - Loop: 174 - Rank min: 100 - Author rank: 64

  • #dns 101
    https://hackernoon.com/dns-101-fdcbdbe9ccf6?source=rss----3a8144eabfe3---4

    https://medium.com/media/a0a23c93ed5dce1af090260ec69339f5/hrefJon Christensen and Chris Hickman of Kelsus teach a primer on the domain name system (DNS) and explain what happens when someone types a URL (i.e., Internet link) into a browser. They demystify the flow process to help you understand how DNS works and the mechanics involved.Some of the highlights of the show include:What is DNS? Fundamental past and present protocol for Internet; connection is made via friendly Internet Protocol (IP) address to identify and map servers within a networkDNS and IP address offer scalability through levels of hierarchy (.com, .net, .org)DNS servers act as authoritative source for domain names they own and manage; servers can host multiple zones and levels to segment URL namespaceBenefits of DNS: (...)

    #elastic-container-service #tech-podcasts #dns-podcast #aws

  • The Ultimate Guide to Bypassing Geo-restrictions While Streaming
    https://hackernoon.com/the-ultimate-guide-to-bypassing-geo-restrictions-while-streaming-5d97d85

    Image sourceThe internet is known to be a goldmine for streaming videos. Alongside other contents that can be accessed via the internet, the interest in video streaming services is soaring both among the subscribers and service providers.According to Digital TV Research, video streaming subscriptions globally will increase by 409 million between 2017 and 2023 to a total of 777 million.Despite such growth and the global nature of the internet, we’re still victims of geography.We believe in a myth that we’ve erased physical boundaries in the digital world and that the internet is a place where we can freely share and consume content, regardless of where we live.However, with #geo-restriction becoming a prevailing issue in many parts of the world, internet freedom is on a decline.in regions (...)

    #vpn #dns-services #hackernoon-top-story #bypass-geo-restrictions

  • RFC 7558 : Requirements for Scalable DNS-SD/mDNS Extensions

    Pour résoudre des noms de domaine en informations (comme l’adresse IP) sur le réseau local, sans configurer de serveur #DNS, nous avons #mDNS (RFC 6762). Pour découvrir des services (par exemples les imprimantes) avec ce mDNS, nous avons #DNS-SD (RFC 6763. Mais ces deux techniques, mDNS et DNS-SD, ne fonctionnent que sur un seul segment du réseau, à l’intérieur d’un domaine de diffusion. Il serait bien pratique de pouvoir les utiliser dans un réseau étendu (comme l’Internet...). Ce #RFC décrit le problème, les souhaits et établit une liste d’exigences pour cette extension de mDNS et DNS-SD « au-delà du lien local ». (À l’heure actuelle, on n’a pas encore de solution satisfaisant ces exigences.)

    http://www.bortzmeyer.org/7558.html