Vertrauenswürdige DNS-Server

Die meisten DNS-Server der Zugangsprovider verwenden kein DNSSEC zur Validierung. Das könnte ein Grund (Sicherheit) für einen anderen, selbst ausgewählten DNS-Server sein.

Einige deutsche Kabelnetzprovider betreiben keine eigenen DNS-Server mehr sondern schicken ihre Kunden einfach zu Google-DNS (8.8.8.8) oder Cloudflare (1.1.1.1). Wenn man mit der Datensch(m)utz Policy der Default DNS-Server der Provider nicht einverstanden ist, muss man sich auch selbst kümmern und die DNS-Server auf dem Router anpassen.

Das Sammeln, Auswerten und Verkaufen von DNS Daten der Kunden durch den Zugangsprovider ist in angelsächsischen Ländern üblich (USA, GB) aber in Deutschland nicht. Zensur durch DNS-Server spielt nach der Abwehr des ZugErschwG in Deutschland auch nur eine geringe Rolle, könnte in seltenen Fällen aber auch mal ein Grund sein.

Hinweis: Ein Trackingdienst könnte ermittlen, welcher DNS-Server vom Browser verwendet wird, und diese Information für das Fingerprinting des Browser verwenden (kurze Erläuterung).

Es gibt bisher keine empirischen Studien, ob dieses Verfahren "in the wild" genutzt wird.

Prinzipiell wäre es möglich und an könnte kurz nachdenken, ob es Gründe gibt, einen selbst gewählten DNS-Server zu nutzen, ob der Vorteil an Sicherheit, Privatspäre gegenüber dem Zugansprovider und Schutz gegen Zensur evtl. unerwünschte Nebeneffekte kompensiert.

Folgende zensur-freien und vertrauenswürdigen DNS-Server mit No-Logging Policy, DNSSEC Validierung und Anti-Spoofing Schutz (Testseite) kann man als Alternative zu den Default DNS-Servern der Provider für diejenigen empfehlen, die wechseln möchten:

Freifunk München (normales DNS, DNS-over-TLS und DNS-over-HTTPS) IPv4: 5.1.66.255 IPv6: 2001:678:e68:f000:: Servername: dot.ffmuc.net IPv4: 185.150.99.255 IPv6: 2001:678:ed0:f000:: Servername: dot.ffmuc.net für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)
Digitale Gesellschaft (CH) (DNS-over-TLS und DNS-over-HTTPS!) IPv4: 185.95.218.42 IPv6: 2a05:fc84::42 Servername: dns.digitale-gesellschaft.ch IPv4: 185.95.218.43 IPv6: 2a05:fc84::43 Servername: dns.digitale-gesellschaft.ch für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)
Censurfridns Denmark (aka. UncensoredDNS) IPv4: 91.239.100.100 IPv6: 2001:67c:28a4:: IPv4: 89.233.43.71 IPv6: 2a01:3a0:53:53:: (mit DNS-over-TLS) für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)
Digitalcourage e.V. IPv4: 5.9.164.112 (nur für DNS-over-TLS!) Servername: dns3.digitalcourage.de für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)

Die folgenden DNS-Server filtern Werbung, Tracking und Malware Domains auf DNS Ebene. Alle drei Projekte werden von unabhägigen Einzelpersonen betrieben:

dismail.de (mit DNS-over-TLS) IPv4: 80.241.218.68 IPv6: 2a02:c205:3001:4558::1 Servername: fdns1.dismail.de IPv4: 159.69.114.157 IPv6: 2a01:4f8:c17:739a::2 Servername: fdns2.dismail.de für iOS 14+: DoT-Server1-Konf und DoT-Server2-Konf (unsigniert, vom PrHdb)
dnsforge.de (DNS-over-TLS, DNS-over-HTTPS) IPv4: 176.9.93.198 IPv6: 2a01:4f8:151:34aa::198 Servername: dnsforge.de IPv4: 176.9.1.117 IPv6: 2a01:4f8:141:316d::117 Servername: dnsforge.de für iOS 14+: DoT-Server-Konf und DoH-Server-Konf (signiert vom Betreiber)
BlahDNS.com (DNS-over-TLS, DNS-over-HTTPS, DNScrypt) IPv4: 78.46.244.143 IPv6: 2a01:4f8:c17:ec67::1 Servername: dot-de.blahdns.com IPv4: 95.216.212.177 IPv6: 2a01:4f9:c010:43ce::1 Servername: dot-fi.blahdns.com für iOS 14+: DoT-DE-Server-Konfiguration (unsigniert, vom PrHdb) (Außerdem gibt es weitere Server in Japan und Sigapure und der Schweiz)

Der russische DNS- und VPN-Provider AdGuard stellt seine DNS-Server zur kostenfreien Nutzung bereit und finanziert sich mit zusätzlichen Premium Features. Die Server stehen in Westeuropa.

AdGuard DNS-Server MIT Werbe- und Trackingfilter: IPv4: 94.140.14.14 IPv6: 2a10:50c0::ad1:ff Servername: dns.adguard.com IPv4: 94.140.15.15 IPv6: 2a10:50c0::ad2:ff Servername: dns.adguard.com für iOS 14+: DoH-Server-Konfiguration (signiert vom Betreiber)
AdGuard DNS-Server OHNE Werbe- und Trackingfilter: IPv4: 94.140.14.140 IPv6: 2a10:50c0::1:ff Servername: dns-unfiltered.adguard.com IPv4: 94.140.14.141 IPv6: 2a10:50c0::2:ff Servername: dns-unfiltered.adguard.com für iOS 14+: DoH-Server-Konfiguration (signiert vom Betreiber)

Einige DNS Server filtern Tracking und Malware Domains. Die Grenze zur Zensur ist dabei schmal und es hängt davon ab, welche Filterlisten eingebunden werden. Die Fake News Blackliste von StevenBlack, enthält beispielsweise 56.000+ Einträge, die von irgendwem irgendwie als "Fake News" deklariert wurden. Dazu zählen die russischen Nachrichtenseite RT International, die französische VoltaireNet.org und viele US Webseiten.

Unabhängig von den Diskussionen um "Fake News", die wesentlich vom politischen Weltbild des Betrachters abhängt, ist die Sperrung von Informationen Zensur. Und ein unzensierter Zugang zu Informationen ist ein wichtiger Grund für die Konfiguration eigener DNS-Server. Bei DNS Servern mit Filterung muss man prüfen, welche Blocklisten verwendet werden.

DNS-Server der Big Player der IT Branche

Es gibt einige DNS-Dienste von den Big Playern der IT-Branche, die damit werben, die länderspezifische Zensur von Zugangsprovider zu umgehen, wie es in der Türkei u.a. üblich ist. Ein paar kleine Kommentare zu diesen Angeboten:

Der Klassiker ist Google DNS. Google verspricht, dass die DNS-Server unter den IP-Adressen 8.8.8.8 und 8.8.4.4 nicht zensiert werden und bemüht sich um schnelle DNS-Antworten. Dabei gilt die Datensch(m)utz Policy von Google.

Natürlich werden alle Anfragen gespeichert und ausgewertet. Ziel ist, die besuchten Webdienste zu erfassen und in das Monitoring des Web besser einzubeziehen. Positiv an dieser Initiative ist, dass es sich kaum jemand leisten kann, die Wirtschaftsmacht Google zu blockieren. Damit wird auch die Sperrung alternativer DNS-Server, wie es in Deutschland im Rahmen des ZugErschwG geplant war, etwas erschwert.
Quad9 mit dem Hauptsitz in der Schweiz ist technisch mit Google-DNS vergleichbar. Unter einheitlichen IP-Adressen stehen 100-200 DNS-Server weltweit zur Verfügung: Primary DNS: IPv4: 9.9.9.9 IPv6: 2620:fe::fe dns.quad9.net Secondary DNS: IPv4: 149.112.112.112 IPv6: 2620:fe::9 dns.quad9.net für iOS 14+: DoT-Server-Konfiguration (unsigniert, vom PrHdb)
Das Projekt verfolgt aber andere Ziele. Quad9 ist für die Anforderungen von Unternehmen optimiert. Im Vordergrund steht IT-Sicherheit. Durch die Verwendung von zeitnah aktualisierten Blocklisten sollen die Auswirkungen von Malware- und Phishing Kampagnen minimiert werden. Ein (temporäres) Overblocking ist nicht gewünscht, wird aber zugunsten der Sicherheit von Quad9 nicht ausgeschlossen.

Dafür arbeitet Quad9 mit 18+ Cyber Thread Intelligence Providern zusammen. Deren Erkenntnisse über Cyber-Angriffe werden gesammelt, um die Abwehr von kriminellen Angriffen und Wirtschaftsspionage auf DNS-Ebene zu konsolidieren. Im Gegenzug erhalten die Thread Intelligence Provider Zugriff auf den (anonymisierten) DNS-Traffic bei einem Angriff, um die Analyse zu beschleunigen.

Die Anforderungen privater Anwender an Privatsphäre und Zensurfreiheit spielen nur eine untergeordnete Rolle. Trotzdem sind auch private Anwender eingeladen, den Dienst zu nutzen. DNSSEC ist Standard, außerdem sind DNS-over-TLS, DNS-over-HTTPS und DNScrypt mit diesen Servern nutzbar. Quad9 kann man verwenden.
Am 01. April 2018 hat Cloudflare einen ähnlichen DNS Dienst gestartet wie Google DNS oder Quad9. Unter der IP-Adresse 1.1.1.1 stehen in 31 Datacentern schnelle DNS-Server bereit, die bei Geschwindigkeit Google DNS und Quad9 übertreffen.

Privacy ist ein wichtiges Verkaufsargument und deshalb schwört auch Cloudflare, die Privatsphäre der Nutzer zu respektieren. Das Privacy Statement klingt sehr überspezifisch: Man wird keine Daten verkaufen, die IP-Adressen der Nutzer nicht auf die Festplatte schreiben und Logdaten max. 24h behalten. Cloudflare wird aber auswerten, welche Domains gesucht wurden und darauf aufbauend Analysen durchführen, die viel Geld wert sind, wenn große Mengen an Daten einfließen, die für die weltweite Internetnutzung repräsentativ sind.

Cloudflare behauptet nicht, das der DNS Service zensurfrei ist. Im Blog Artikel wird zwar darauf hingewiesen, dass man mit den DNS-Servern 1.1.1.1 die länderspezifischen Sperren der Zugangsprovider umgehen kann (Beispiel: Türkei), aber man kann davon ausgehen, das Cloudflare die Anforderungen der US-Administration umsetzten wird.

DNSSEC ist Standard, außerdem gibt es DNS-over-TLS und DNS-over-HTTPS.

Primary DNS:	IPv4: 9.9.9.9	IPv6: 2620:fe::fe	dns.quad9.net
Secondary DNS:	IPv4: 149.112.112.112	IPv6: 2620:fe::9	dns.quad9.net
für iOS 14+:	DoT-Server-Konfiguration		(unsigniert, vom PrHdb)