DNS-Über-TLS ist zwar schön , jedoch leidet es unter dem Problem das Anfragen dediziert über einen bekannten Port (853) verschickt werden. Damit ist absolut klar was der Nutzer vorhat und es kann relativ einfach blockiert werden.
Viele Hotel-WLANs betreiben Portfilter und lassen so etwas gar nicht erst zu.
Ich schlage daher vor diese Option um andere Varianten von sicherer DNS Auflösung zu ergänzen:
DNS über HTTPS, DoH, genannt nutzt Port 443 und tarnt sich als normaler Webseiten-Aufruf. Das erhöht die Chancen für eine erfolgreiche Verbindung ungemein.
DNS-über-Quic,DoQ bietet bessere Performance als DoT und schafft auf mobilen Geräten sehr gut den Übergang zwischen WLAN und Mobilen Daten ohne die Verbindung neu aufbauen zu müssen.
DNS muss erzwungen werden über den Systemresolver zu gehen, keine App darf Anfragen über Ports 53,853 und 8853 eigenmächtig stellen dürfen.
DNSSEC sollte vom Gerät angefragt und validiert werden, wenn der upstream resolver es nicht tut.
Viele Hotel-WLANs betreiben Portfilter und lassen so etwas gar nicht erst zu.
Ich schlage daher vor diese Option um andere Varianten von sicherer DNS Auflösung zu ergänzen:
DNS über HTTPS, DoH, genannt nutzt Port 443 und tarnt sich als normaler Webseiten-Aufruf. Das erhöht die Chancen für eine erfolgreiche Verbindung ungemein.
DNS-über-Quic,DoQ bietet bessere Performance als DoT und schafft auf mobilen Geräten sehr gut den Übergang zwischen WLAN und Mobilen Daten ohne die Verbindung neu aufbauen zu müssen.
DNS muss erzwungen werden über den Systemresolver zu gehen, keine App darf Anfragen über Ports 53,853 und 8853 eigenmächtig stellen dürfen.
DNSSEC sollte vom Gerät angefragt und validiert werden, wenn der upstream resolver es nicht tut.