Liste(n) mit DNS over TLS Servern?

Dieses Thema im Forum "Tech & FAQ Forum" wurde erstellt von Belvedere Jehosaphat, 5 Mai 2020.

  1. Belvedere Jehosaphat

    Belvedere Jehosaphat Bekanntes Mitglied

    Registriert seit:
    22 Februar 2014
    Beiträge:
    962
    Bin auf der Suche nach einer Liste mit Adressen von DNS over TLS Servern.

    Habe mich bereits bei https://dnsprivacy.org aus der Liste der (angeblich) nicht loggenden DNS Server bedient und auch alle brav in meinem Unbound eingetragen, nur blöderweise reagieren die Server irgendwann gar nicht mehr auf DNS Abfragen. Was nützt also das schönste "nicht-logging", wenn man nach ein paar Minuten browsen auf keine Seiten mehr kommt. Mit Google, Cloudflare und Quad9 ist das alles kein Problem, immer erreichbar und super schnell, auch per TLS. Nur halt eben mit unerwünschtem Beiwerk.

    Kennt Ihr noch andere Quellen für DNS over TLS Server?
  2. DrSnuggles

    DrSnuggles Xanatos

    Registriert seit:
    31 Oktober 2004
    Beiträge:
    21.189
    Nimm Unbound und verwende direkt Queries ohne DNS over TLS und ohne Forwarder.
    Dann läuft nicht auf einem zentralen Server dein ganzes Profil zusammen und normalerweise sniffen Provider nicht deinen DNS-Traffic mit, die schneiden nur den Traffic auf ihrem DNS-Server mit.
    QNAME minimisation anschalten nicht vergessen.

    Ich halte DNS over TLS und DNS over https für eine Privacy-Katasthrophe.
    Zuletzt bearbeitet: 6 Mai 2020
    Dr.Windos und Belvedere Jehosaphat sagen Danke.
  3. Belvedere Jehosaphat

    Belvedere Jehosaphat Bekanntes Mitglied

    Registriert seit:
    22 Februar 2014
    Beiträge:
    962
    Funktioniert soweit. Habe eine Beispielkonfiguration (Quelle) gefunden und für meine Vorgaben abgeändert. Falls auch jemand seinen eigenen DNS betreiben möchte:

    Code:
    # Unbound configuration file for Debian.
    #
    # See the unbound.conf(5) man page.
    #
    # See /usr/share/doc/unbound/examples/unbound.conf for a commented
    # reference config file.
    server:
    # Use the root servers key for DNSSEC
    auto-trust-anchor-file: "/var/unbound/root.key"
    # Enable logs
    verbosity: 1
    
    # DNS request port, IP and protocol
    port: 53
    do-ip4: yes
    do-ip6: no
    do-udp: yes
    do-tcp: yes
    
    # Authorized IPs to access the DNS Server
    #access-control: 127.0.0.0/8 allow
    #access-control: 192.168.1.0/24 allow
    #access-control: 192.168.1.26
    
    # Root servers information (To download here: ftp://ftp.internic.net/domain/named.cache)
    root-hints: "/var/unbound/root.hints"
    
    # Hide DNS Server info
    hide-identity: yes
    hide-version: yes
    
    # Sends a request to the name server authoritative for the closest known ancestor of the original QNAME
    qname-minimisation: yes
    
    # Improve the security of your DNS Server (Limit DNS Fraud and use DNSSEC)
    harden-glue: yes
    harden-dnssec-stripped: yes
    
    # Rewrite URLs written in CAPS
    use-caps-for-id: yes
    
    # TTL Min (Seconds)
    cache-min-ttl: 3600
    # TTL Max (Seconds)
    cache-max-ttl: 86400
    # Enable the prefetch
    prefetch: yes
    
    # Number of maximum threads to use
    num-threads: 2
    
    ### Tweaks and optimizations
    # Number of slabs to use (Must be a multiple of num-threads value)
    msg-cache-slabs: 8
    rrset-cache-slabs: 8
    infra-cache-slabs: 8
    key-cache-slabs: 8
    # Cache and buffer size (in mb)
    rrset-cache-size: 51m
    msg-cache-size: 25m
    so-rcvbuf: 1m
    
    # Make sure your DNS Server treat your local network requests
    private-address: 192.168.0.1/24
    
    # Add an unwanted reply threshold to clean the cache and avoid when possible a DNS Poisoning
    unwanted-reply-threshold: 10000
    
    # Authorize or not the localhost requests
    do-not-query-localhost: no
    
    # Use the root.key file for DNSSEC
    #auto-trust-anchor-file: "/var/unbound/root.key"
    
    val-clean-additional: yes
    Dr.Windos sagt Danke.