Bisher habe ich dnsforge benutzt und auf meinem Smartphone (Netguard) habe ich immer wieder Ausfälle oder langsame Ladezeiten. Auf anderen Geräten (Windos) läuft der DNS problemlos bzw. da habe ich zu gefühlt-bestimmten Uhrzeiten kurze Aussetzer, liegt aber vielleicht an der Telekom.
Nun überlege ich mir zu CenturionDNS zu wechseln, was wohl ein neuer Anbieter ist, zumindest kannte ich bis zu dem Eintrag in der Tabelle diesen nicht.
Mir stellt sich nun die allgemeine Frage:
Wie vertrauenswürdig sind DNS-Anbieter, dass diese wirklich nichts loggen und Tracker/Werbung/Malware blocken?
Also ich will keinem DNS-Anbieter was unterstellen aber im Grunde ist es ja darauf zu vertrauen, dass die Angaben stimmen.
Die Wahrscheinlichkeit dass meine Annahmen unbegründet sind, kann gut sein. Mir kam das nun halt mal in den Kopf und spreche es hier mal an. Auch um realistische(re) Einordnungen von euch zu erhalten.
Man sollte auf das Versprechen des Anbieters achten, wie er den Datenschutz gewährleisten will, und auf den Standort. Innerhalb der EU ist das der Mindeststandard. Wie es sich bei den Schweizer Anbietern entwickeln wird, ist mir noch unklar. Da ist im Moment auch viel in Bewegung und nicht alles scheint in unserem Sinne zu sein. Aber wie du schon sagst: Am Ende ist es eine Vertrauenssache.
Rein technisch betrachtet lässt sich das Problem nur verlagern, aber nicht vollständig lösen. Eine radikale Möglichkeit wäre, DNS über Tor zu schicken, aber das ist kein typisches Paket-aus-dem-Regal, weil Tor grundsätzlich den gesamten TCP-Verkehr kapselt und DNS klassisch per UDP läuft. Man kann den lokalen Resolver so konfigurieren, dass er Anfragen als TCP durch einen Tor-Socks-Proxy schickt. Eine weitere Möglichkeit ist die Nutzung von Tools, die DNS in HTTPS verpacken und dann über Tor leiten. Das ist zwar machbar, aber weit vom Standard entfernt und fehleranfällig. Jede Fehlkonfiguration lässt den Verkehr plötzlich wieder direkt ins Netz entkommen. Zudem bringt es deutliche Performanceeinbußen mit sich, da jede Anfrage über mehrere Relays läuft. Bei DNS ist das besonders spürbar, da schon allein der Seitenaufbau viele einzelne Lookups auslöst.
Die Frage lautet letztlich, welcher Grad an Verbergen ausreichend ist. Tor ist radikal, aber schwergewichtig und VPN verschiebt die Vertrauensfrage nur in eine andere Instanz. Anonymität im Alltag bleibt ein Kompromiss zwischen Aufwand, Geschwindigkeit und verbleibenden Vertrauensstellen.
Wäre Unbound nicht die erste Lösung? Und als zweite Wahl Quad9 - Standort Schweiz, sehr schnell, kein Tracking, unterliegt der Kontrolle von ISP oder unmittelbarer deutscher / europäischer Gesetzgebung / Zensur Thor ist wohl die beste Lösung, nur sehr sehr langsam…
Anbieter in der EU haben sich an die DSGVO zu halten. Was dazu führen sollte, dass die so wenig Daten wie nötig von Dir erheben.
Die unterliegen aber auch der sonstigen Gesetzgebung der EU und des Staates, wo die Firma dann ihren Sitz hat. Und der Staat kann alles mögliche anordnen. Von “IP-Sperre” bis “alle Daten von Dir sammeln”.
Dahingehend musst Du nicht nur dem DNS-Anbieter, sondern auch allen Behörden trauen.
Vom Gefühl her ist das bei der politischen Lage schwierig.
Also wird aus “Vertrauen” eher eine Risikoabwägung. Wenn Du einfach nur nicht willst, dass Dein DSL-Anbieter möglicherweise über alle Deine DNS-Abfragen ein Protokoll führt, dann suche Dir einen DNS-Anbieter im EU-Raum, z.B. nextDNS.
Ah, ok, wo sitzen Google & Cloudlare? Wie stellt die EU sicher, das US Anbieter sich an die EU Regeln halten? Also RT ist z.B. unerwünscht in der EU, kann dennoch mit einem der genannten Anbieter erreicht werden (mit Telekom z.B. nicht).
Ich habe das bewusst so formuliert und den nächsten Satz mit “Das sollte dazu führen” begonnen
Der Threadersteller fragte ja auch nach “Vertrauen” und ich bin am Ende bei “eher Risikoabwägung”.
Die Gefahr, dass alle DNS-Abfragen gespeichert werden, sehe ich allerdings bei den großen Anbietern eher, weil die die technischen Möglichkeiten haben, die Datenmengen zeitnahn zu speichern. Kleinere Anbieter müssen da schon nur wegen der Datenmengen passen.
Ich würde also eher einen kleineren Anbieter in der EU wählen.
Die DSGVO legt zwar fest, was zulässig ist, aber nicht, was aus technischer oder organisatorischer Sicht minimal notwendig ist. Ein Anbieter kann sich auf einen weit gefassten Zweck berufen und somit mehr Daten erfassen, als für eine reine Namensauflösung erforderlich wären, sofern er dies begründen und offenlegen kann. Gleichzeitig könnte ein Betreiber entscheiden, gar nicht zu protokollieren oder Daten sofort zu verwerfen, sofern er keinen eigenen Zweck damit verfolgt und keine rechtlichen Pflichten zur Speicherung bestehen. Manche tun das, andere nicht.
Der Spielraum ist also groß. Die DSGVO zwingt nicht zum technisch strengsten Minimalprinzip, sondern zur Nachweisbarkeit, Zweckbindung und zum Schutz der verarbeiteten Daten. Einige Anbieter nutzen diesen Rahmen defensiv und erheben nur wenige Daten, andere schöpfen ihn weitestgehend aus.
dann empfehle ich dir NextDNS. Das ist quasi ein managed Pihole. Sehr leicht zu konfigurieren, auf allen Endgeräten leicht einzurichten, saugt nicht amAkku und sehr zuverlässig. Ich nutze es selber, weil ich die Frickelei satt habe.
