@Werner schrieb: Die Swisscom DNS haben da also durchaus noch Aufholpotential bezüglich: - Angebot von DoT-Fähigkeit auf ihren DNS-Servern (DNSSEC Aware sind sie zwar, aber die Internetboxen können das leider nicht mal verwenden) - Verfügbarkeit und Ausfallsicherheit - Zuverlässigkeit im Routing Die Internetboxen selbst: - bieten an die DNS-Server ändern zu können - unterstützen aber aktuell weder DNS-Zugriffe via DoT noch die Möglichkeit einer strikten DNSSEC-Validierung Will man also das Optimum an DNS-Sicherheit erreichen, muss man möglicherweise also aktuell sowohl einen Swisscom-fremden DNS-Server (z.B. 9.9.9.9) wie auch einen DoT-fähigen und DNSSEC-prüfungsfähigen Fremdrouter (gibt es einige) verwenden. Die Swisscom DNS Server machen bereits eine DNSSEC Validierung, somit sind sie etwas mehr als nur DNSSEC Aware. Aus meiner Sicht macht es daher auch keinen Sinn, auf der Internetbox DNSSEC nochmals zu validieren, wenn dann eher auf dem Clients selbst, wenn der Anwender das wirklich will. DNSSEC bringt auch viele Probleme mit sich und bei der Validierung auf den DNS selbst, können DNS Admins eingreifen, falls wiedereinmal der Key Rollover für eine Domain fehlgeschlagen ist. Das wäre bei einer Validierung direkt auf der Internetbox sicher auch möglich, aber der Aufwand wäre um ein vielfaches höher und nicht gerechtfertigt. Wenn der Anwender das auf dem Client selbst macht, ist es auch nicht mehr das Problem von Swisscom, falls es mal nicht mehr funktioniert. Für DoT und DoH wird aktuell unter anderem bei IETF an Discovery Standards gearbeitet. Sind diese Standards einmal gültig, kann auch an einer Implementierung gearbeitet werden. Ich denke viele Provider warten noch ab, was da entschieden wird oder machen nur Tests im kleineren Umfang. Durch DoT und DoH kann man sich auch schnell neue Probleme einfangen und bei einer Aktivierung müssen viele Faktoren bedacht werden. Auf der Internetbox kann der DNS Server ja durchaus angepasst werden und ob nun der Swisscom DNS oder ein anderer verwendet wird, bleibt ja jedem selbst überlassen, egal wer da was sagt, es besteht keine Swisscom DNS Pflicht. Wer DoH oder DoT verwendet will, kann dies mit einem eigenen DNS oder auf dem Client selbst ja auch konfigurieren, aber da braucht es aktuell noch etwas mehr Wissen. Für die breite Masse wird das durch die Standards, an denen gearbeitet wird, dann auch ohne manuelles zutun ermöglicht. Das ganze DNS/DoT/DoH ist auch vielfach eine Ideologische Diskussion, bei der dann teilweise auch Kommentare fallen, die so nicht viel dazu beitragen. Gleiches gilt auch für den Internet Guard, es ist eben nicht alles Schwarz und Weiss, dazwischen hat es noch diverse Graustufen. Verfügbarkeit bzw. Routing sollten sich nun eigentlich verbessert haben, aber wir werden sehen was die Zukunft bringt. @Doombatz Noch kurz zur gesperrten Domain, einfach via Formular melden, dann sollte das wieder von der Blacklist verschwinden (https://www.swisscom.ch/de/privatkunden/hilfe/internet/internetguard/formular.html)
Mehr anzeigen