Canary Domain - use-application-dns.net

Versionsdaten
  • Versions-ID: 243678
  • Erstellt:
  • Autor: philipp
  • Kommentar: kleine Verbesserungen
  • Überprüft: Nein
  • Bereit zum Übersetzen: Nein
Quelltext der Version
Vorschau der Änderung

Um zu signalisieren, dass ihr lokaler DNS-Resolver spezielle Funktionen enthält, weswegen sich das Netzwerk nicht für das DNS-over-HTTPS (DoH)-Protokoll eignet, können Netzwerkadministratoren ihre Netzwerke so konfigurieren, dass auf DNS-Anfragen für folgende spezielle Domain (eine sog. Canary-Domain) eine modifizierte Antwort zurückgegeben wird: use-application-dns.net.

Hinweis: Die Canary-Domain wirkt sich nur bei Nutzern aus, bei denen DoH aufgrund einer standardmäßigen Voreinstellung aktiv ist. Sie gilt nicht für Nutzer, die sich selbst entschieden haben, DoH zu aktivieren.

Firefox wird versuchen, diese Domain mithilfe des (oder der) im Betriebssystem des Geräts konfigurierten DNS-Server(s) aufzulösen, und untersucht das Ergebnis.

Das Ergebnis wird als negativ gewertet,

  • wenn ein anderer Antwortcode als NOERROR zurückgegeben wird, z. B. NXDOMAIN (nicht vorhandene Domain) oder SERVFAIL,
  • wenn ein NOERROR-Antwortcode zurückgegeben wird, der jedoch weder A- noch AAAA-Einträge enthält.

Ein negatives Ergebnis ist für Firefox ein Signal zum Deaktivieren der anwendungsspezifischen DNS-Auflösung, also in diesem Fall DoH.

Das Ergebnis wird als positiv gewertet, wenn die Abfrage mit NOERROR abgeschlossen wird und A- oder AAAA-Datensätze (oder beides) enthält.

Die Verwendung dieser Canary-Domain ist von Mozilla als zeitlich begrenzte Maßnahme vorgesehen, bis ein Gremium für Internetstandardisierung zu einer allgemein gültigen Methode übereinkommt, mit der ein Einsatz von DNS-basierter Inhaltsfilterung signalisiert werden kann.

Hinweis: Einige vorhandene DNS-Filteranbieter implementieren ähnliche Domains, damit die Nutzer prüfen können, ob die Filterung funktioniert. Diese Canary-Domain unterscheidet sich dadurch, dass sie durch Software (z. B. Firefox) geprüft werden soll, anstatt vom Nutzer selbst, und dass sie von allen Filteranbietern eingesetzt werden kann.