Hallo zusammen.
Wenn ich ein Pihole/Adguard Home zusammen mit unbound betreibe, kann ich auch DNS over HTTPS mit unbound nutzten ?
Wenn ja wie oder was muss ich bei unbound konfigurieren ?
das ergibt nach meinem Verständnis keinen Sinn. Unbound ist ein rekursiver Resolver und löst doch jede Domäne selbst auf. Dabei kann Unbound beim jeweiligen authoritativen DNS-Server nicht unterstellen, dass der seine Daten auch per DoH oder DoT anbietet. Und selbst wenn könnte der Lauscher - je nach Position des Lauschens - oft ermitteln wer welche Domäne auflöst, außer die Domäne wird von den ganz großen Google, AWS, Cloudflare gemanagt.
Wenn Du Privatsphäre willst, dann delegiere an einen anderen rekursiven Resolver statt einen eigenen zu verwenden.
Das ergibt auch keinen Sinn. Am Ende wird ja sowieso nur der für die Domain zuständige Server gefragt. Die Resolver auf dem Weg dahin sehen dank QNAME Minimization nur das, was sie sehen müssen.
DNS over HTTPS ist an der Stelle unnötig, es sei denn, du vertraust deinem lokalen Netz nicht.
1 „Gefällt mir“
mitlesen (weil unverschlüsselt, und das wollte @jm1982 lösen) kann aber auch der ISP (oder der des VPNs), der muss nur die einzelnen Queries sammeln und aus den jeweils letzten ergibt sich mit großer Wahrscheinlichkeit die besuchte Seite.
Oder wo ist mein Denkfehler?
Der Provider / VPN-Anbieter sieht doch sowieso, zu welchen Hosts eine Verbindung aufgebaut wird. Unabhängig davon, wer vorher den DNS-Request beantwortet hat.
Wenn man seinem Provider nicht vertraut, müsste man dann sowieso sowas wie Tor benutzen.
ja, aber zunehmend mühsamer, denn er muss ggfs. in jeden TLS-Verbindungsaufbau sehen, denn viele Seiten werden heute über CDN oder andere Clouds geliefert und dann sagt die IP-Adresse alleine wenig - das kann sowohl eine Ratgeberseite als eine illegale Filesharingbörse sein. Erst SNI zeigt den Hostnamen, und wenn ESNI verwendet wird sieht man dann noch weniger. Dagegen ist Mitlesen bei einer rekursiven und unverschlüsselten DNS-Auflösung doch trivial.