Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

Die meisten DNS-Server der Zugangsprovider verwenden kein DNSSEC zur Validierung. Das könnte ein Grund (Sicherheit) für einen anderen, selbst ausgewählten DNS-Server sein.

Einige deutsche Kabelnetzprovider betreiben keine eigenen DNS-Server mehr sondern schicken ihre Kunden einfach zu Google-DNS (8.8.8.8) oder Cloudflare (1.1.1.1). Wenn man mit der Datensch(m)utz Policy der Default DNS-Server der Provider nicht einverstanden ist, muss man sich auch selbst kümmern und die DNS-Server auf dem Router anpassen.

Das Sammeln, Auswerten und Verkaufen von DNS Daten der Kunden durch den Zugangsprovider ist in angelsächsischen Ländern üblich (USA, GB) aber in Deutschland nicht. Zensur durch DNS-Server spielt nach der Abwehr des ZugErschwG in Deutschland auch nur eine geringe Rolle, könnte in seltenen Fällen aber auch mal ein Grund sein.


Hinweis: Eine Trackingdienst könnte ermittlen, welcher DNS-Server vom Browser verwendet wird, und diese Information als Parameter für das Fingerprinting des Browser verwenden:

  1. Der Webserver sendet im HTML Code ein kleines, überflüssiges Element, dass von einer zufällig generierten Subdomain des Trackingservice geladen werden soll.
  2. Der Browser versucht die IP-Adresse für diese Subdomain zu ermitteln. Der konfigurierte Upstream DNS-Server hat die Information nicht im Cache und muss deshalb den authorativen Server des Trackingdienstes anfragen.
  3. Der authorative DNS-Server des Trackingdienstes registriert die DNS Anfrage und die IP-Adresse des anfragenden DNS-Servers und sendet beides an den Trackingservice, wo die Information mit dem Aufruf der Webseite korrelliert werden kann.

Es gibt bisher noch keine empirischen Studien, die untersucht haben, ob dieses Verfahren "in the wild" genutzt wird. Aber es ist prinzipiell möglich. Deshalb sollte man kurz nachdenken, ob es Gründe gibt, einen selbst ausgewählten DNS-Server zu nutzen, ob der Vorteil an Sicherheit und Schutz gegen Zensur evtl. unerwünschte Nebeneffekte kompensiert.



Folgende zensur-freien und vertrauenswürdigen DNS-Server mit No-Logging Policy, DNSSEC Validierung und Anti-Spoofing Schutz (Testseite) kann man als Alternative zu den Default DNS-Servern der Provider für diejenigen empfehlen, die wechseln möchten:  Die folgenden DNS-Server filtern Werbung, Tracking und Malware Domains auf DNS Ebene. Alle drei Projekte werden von unabhägigen Einzelpersonen betrieben: Der DNS- und VPN-Provider AdGuard stellt seine DNS-Server zur kosten­freien Nutzung bereit und finanziert sich mit zusätzlichen Premium Features. Die Server stehen in Westeuropa. Der schwedische VPN-Provider Mullvad stellt DNS-over-TLS und DNS-over-HTTPS Server ebenfalls kostenlos zur Verfügung (kein Plain-DNS). Die Server stehen in Deutschland, Schweiz, Schweden, Großbritannien, Singapur, Australien sowie USA und sind unter einer einheitlichen IP erreichbar.

Einige DNS Server filtern Tracking und Malware Domains. Die Grenze zur Zensur ist dabei schmal und es hängt davon ab, welche Filterlisten eingebunden werden. Die Fake News Blackliste von StevenBlack, enthält beispielsweise 56.000+ Einträge, die von irgendwem irgend­wie als "Fake News" deklariert wurden. Dazu zählen die russischen Nachrichten­seite RT International, die französische VoltaireNet.org und viele US Webseiten.

Unabhängig von den Diskussionen um "Fake News", die wesentlich vom politischen Weltbild des Betrachters abhängt, ist die Sperrung von Informationen Zensur. Und ein unzensierter Zugang zu Informationen ist ein wichtiger Grund für die Konfiguration eigener DNS-Server. Bei DNS Servern mit Filterung muss man prüfen, welche Blocklisten verwendet werden.

DNS-Server der Big Player der IT Branche

Es gibt einige DNS-Dienste von den Big Playern der IT-Branche, die damit werben, die länder­spezifische Zensur von Zugangsprovider zu umgehen, wie es in der Türkei u.a. üblich ist. Ein paar kleine Kommentare zu diesen Angeboten: