DNS-Verwendung, Malware-Filter und zusätzliche Sicherheit durch verschlüsselte Übertragung der DNS-Anfragen wird ja in 2020 durchaus zunehmend ein Thema, welches vermehrt auch in die Breite geht.
DNS over TLS (DoT) und DNS over HTTPS (DoH) werden als DoT bei immer mehr DNS-Anbietern und als DoH auch bei immer mehr Browser-Anbietern zunehmend angeboten und auch eingesetzt.
Dies teilweise auch in Kombination mit einer strikten DNSSEC-Validierung auf dem Heimnetzrouter um auch die Authentizität der einzelnen Webseiten zu überprüfen.
In den letzten Monaten habe ich dies ausgiebig mit den DNS-Servern Quad9 (9.9.9.9) und auch mit Cloudflare (1.1.1.1 und neu auch mit 1.1.1.2
- neu als Ergänzung zum 1.1.1.1 auch mit Malwarefilter, aber noch ohne DoT-Fähigkeit) ausgetestet.
Die Testergebnisse für 9.9.9.9, wie auch für 1.1.1.1 und 1.1.1.2 haben bei mir keinerlei Probleme für deren Verwendung in der Schweiz aufgezeigt und die Verfügbarkeit dieser DNS-Anbieter liegt aufgrund ihrer mit kontrollierter Redundanz ausgestatteter globalen Netz-Präsenz so nahe bei 100% wie es überhaupt nur möglich ist.
Die Swisscom DNS haben da also durchaus noch Aufholpotential bezüglich:
- Angebot von DoT-Fähigkeit auf ihren DNS-Servern (DNSSEC Aware sind sie zwar, aber die Internetboxen können das leider nicht mal verwenden)
- Verfügbarkeit und Ausfallsicherheit
- Zuverlässigkeit im Routing
Die Internetboxen selbst:
- bieten an die DNS-Server ändern zu können
- unterstützen aber aktuell weder DNS-Zugriffe via DoT noch die Möglichkeit einer strikten DNSSEC-Validierung
Will man also das Optimum an DNS-Sicherheit erreichen, muss man möglicherweise also aktuell sowohl einen Swisscom-fremden DNS-Server (z.B. 9.9.9.9) wie auch einen DoT-fähigen und DNSSEC-prüfungsfähigen Fremdrouter (gibt es einige) verwenden.
Festzuhalten gilt es aber sicher noch: Die Swisscom-DNS-Server und auch die Internetboxen entsprechen aktuell absolut dem Schweizer Marktstandard, also sind ganz sicher konkurrenzfähig mit UPC, Sunrise, Salt, etc.etc.,
falls man aber tatsächlich mit besonderer DNS-Sicherheit als den Kunden zusätzlich angebotener Vorteil glaubwürdig "punkten" möchte, sollte man sich nicht am Vergleich mit den aktuellen CH-Konkurrenten orientieren, sondern sich tatsächlich messen mit den globalen Technologieführern in diesem Bereich.
P.S.: @cslu, die damalige persönliche Kritik eines Swisscom-Mitarbeiters an Dir für mangelnde Begeisterung am Internet-Guard hielt ich zwar nie für gerechtfertigt, aber in Zwischenzeit ist das ja schon länger verjährt und meine Empfehlung wäre da jetzt zur Förderung der eigenen Gesundheit, die scheinbar immer noch offene Wunde jetzt doch möglichst endgültig verheilen zu lassen...
