dns0 nimmt seinen Dienst auf: Europäischer, öffentlicher DNS
von caschy | 62 Kommentare
Foto von Taylor Vick auf Unsplash
Ein neuer DNS-Dienst macht sich auf, Nutzer zu erobern. DNS ist das Verzeichnis des Internets. Wenn man auf einen Link klickt, eine E-Mail sendet, eine mobile Anwendung öffnet, muss das Gerät oft als Erstes die Adresse einer Domain nachschlagen. Es gibt zwei Seiten des DNS-Netzwerks: Authoritative (die Inhaltsseite) und Resolver (die Konsumentenseite). Jedes Gerät, das sich mit dem Internet verbindet, benötigt einen DNS-Resolver. Standardmäßig werden diese Resolver automatisch von dem Netzwerk gesetzt, mit dem Nutzer sich verbinden. In den meisten Fällen schreibt der Provider den DNS vor, man kann ihn allerdings auch gegen andere Dienste ersetzen.
Warum? Privatsphäre, Umgehung von Zensur, Werbeblocker. Sperren von Inhalten – all so etwas. Viele der großen Anbieter haben eigene DNS-Dienste, dazu gibt es auch noch unter anderem Cloudflare, quad9 oder auch NextDNS.
Die Mitbegründer von NextDNS haben Erfahrung und nun ein interessant klingendes Projekt namens dns0 (Null) an den Start gebracht, welches unter dns0.eu zu erreichen ist. Ein kostenloser, souveräner und GDPR-konformer rekursiver DNS-Resolver mit einem starken Fokus auf Sicherheit zum Schutz der Bürger und Organisationen der Europäischen Union, das Ganze als französische Non-Profit-Organisation.
Auf der Seite bietet man derzeit zwei unterschiedliche IP-Adressen der DNS-Server je nach Wünschen an, unter anderem einen für Kids vorkonfigurierter Dienst. Da hat also einer entschieden, was geblockt wird und was nicht. Für Kids gibt es dann keine Erwachsenenwebseiten, keine anstößigen Inhalte, keine Dating-Apps, keine Mixed-Contend-Seite, keine Piraterie oder Werbung. Hier einmal zum Ausprobieren in einem (alternativen) Browser:
- Go to Settings.
- In the Privacy and security section, click on Security.
- Enable Use secure DNS.
- Select With: Custom, then enter https://kids.dns0.eu
- Go to Settings.
- Go to Privacy, Search, and Services, then scroll down to the Security section.
- Enable Use secure DNS to specify how to lookup the network address for websites.
- Select Choose a service provider, then enter https://kids.dns0.eu
- Go to Settings.
- Scroll down to the Network Settings section and click on the Settings… button.
- Enable Enable DNS over HTTPS.
- Select Use Provider: Custom, then enter https://kids.dns0.eu
Im Gegensatz zu anderen Diensten kann der Nutzer hier kein Konto anlegen oder Ausnahmen regeln, es gilt: friss oder stirb. Ebenso haben die Nutzer noch eine Hochsicherheitsauswahl, da werde dann „gehärtete Sicherheit für hochsensible Umgebungen“ angeboten.
Abseits dessen: Die EU will für ihre Bürger und Einrichtungen eine eigene Infrastruktur in Sachen DNS an den Start bringen. Das Ganze hört auf den bisherigen Arbeitstitel DNS4EU. Der Service soll öffentlichen Einrichtungen, Unternehmen und privaten Internet-Endnutzern in der EU dienen und eine sehr hohe Zuverlässigkeit sowie Schutz vor globalen und EU-spezifischen Cybersicherheitsbedrohungen (z. B. Phishing in EU-Sprachen) bieten.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Einerseits gut, andererseits fraglich wer und was sich dann dafür einsetzt, das XY in dem Resolver geblockt wird. Ich sag nur Content-Piraterie. Da sind Lobbyisten ja auch ganz gut dabei immer so zu tun als würden sämtliche Firmen auf dem sterbenden Ast verhungern weil Clip Z ein Schnipsel Lizenzinhalt beinhaltet…
Schön aber der Fokus gegen Phishing auf EU Sprache, nur fraglich ob es dann auch zuverlässig klappt.
Wäre es nicht besser, wenn der DNS außerhalb der Europäischen Union angesiedelt wäre? Man möchte doch möglichst geringen Einfluss um möglichst wenigen Zensurverpflichtungen nachkommen zu müssen. In der Praxis sind deutsche DNS Anbieter schon unfreier als die US-Amerikanischen.
Diese Meldung hier liest sich für mich so als pitchen sie da grade eine Vorstufe zentraler Internetzensur. 😀
Nutze Pihole zusammen mit Unbound und du hast das Problem nicht, Unbound fragt direkt dir Root-Server ab und die unterliegen nicht der EU und allen Regelungen dort.
Ist für 90% aller Menschen doch viel zu kompliziert einzurichten. Hat doch keiner Zeit für sowas
Die Alternative ist „Friss oder Stirb“ 😉
Für die Nenschen ist der BDS seines Providers. Diese Antwort gilt also nicht. Es geht um die 10% andere.
Dass ein europäischer Dienst sich auf der europäischen Rechtslage beruht, ergibt durchaus Sinn. Zumal es ja jedem frei steht, einen anderen, nicht-europäischen DNS zu nutzen.
Naja das Freiwilligkeitsding ist kein Argument. Alles ist immer erst mal freiwillig, bis es dann nicht mehr freiwillig ist. … das ist halt eine Salami-Taktik.
Dass ein europäischer Dienst sich auf der europäischen Rechtslage beruht, ergibt durchaus Sinn, das stimmt. Bloß das Internetnutzer in Europa diesen Dienst dann auch noch benutzen, das ergibt keinen Sinn.
Wie gesagt: Eines der zentralen Qualitätsmerkmale eines DNS Anbieters ist, dass er dich nicht zensiert.
„Dass ein europäischer Dienst sich auf der europäischen Rechtslage beruht, ergibt durchaus Sinn, das stimmt. Bloß das Internetnutzer in Europa diesen Dienst dann auch noch benutzen, das ergibt keinen Sinn.
Wie gesagt: Eines der zentralen Qualitätsmerkmale eines DNS Anbieters ist, dass er dich nicht zensiert.“
Na da wäre mir die „Profilbildung“ wichtiger, also sprich: personenbezogene Daten, sprich: DSGVO.
Ein Anbieter der sich daran hält, hat einen Pluspunkt.
Zensur? Würde ich doch merken, wäre dann in diesem doch ziemlich hypothetischen Fall also eher schnell zu umgehen.
Da wiegt für mich das „Den ganzen Tag im Alltag keine personenbezogenen Daten“ doch deutlich mehr.
Wie „hypothetischer Fall“ Zensur? Würdest du die aktuell bereits bei Deutschen Anbietern implementieren Netzsperren leugnen? Das ist ja spannend.
Netzsperren sind keine Zensur im klassischen Sinne… und dass Angebote wie kinox.to oder xhamster gesperrt werden liegt an der Gesetzgebung und ist innerhalb dieser nicht zu beanstanden.
Es geht ja nicht darum Meinungen auszusperren, sondern um offensichtlich illegale Inhalte.
Zensur ist der Versuch der Kontrolle von Information. Da gibt’s auch gar nichts kleinzureden. Dieser Seemannsgarn von wegen das sei keine Zensur funktioniert doch schon seit 20 Jahren nicht mehr. 😀
Leider haben sich viele Deutsche Provider zusammengeschlossen und unterdrücken freiwillig bestimme Seiten. Auch wenn diese Seiten tendenziell sich nicht an das Urheberrecht halten, so fehlt dennoch das amtliche/richterliche Gebot zur Sperrung.
https://cuii.info
Hast du ne Quelle für deine Aussage. Meinem Wissen nach sind deutsche DNS Anbieter die freisten
Komisch die Provider hier müssen doch sowas wie goldesel und Co zensieren, definitiv mindestens Vodafone, ich komme auf alle Seiten rauf mit mein amerikanischen Anbietern die in mein pihole benutzt werden.
Und von den Ausfällen die hier manchmal die Provider haben habe ich auch noch nie was mitbekommen. 🙂
https://de.wikipedia.org/wiki/Sperrungen_von_Internetinhalten_in_Deutschland
Willst du die gesperrten Inhalte abrufen brauchst du halt den Google dns.. oder den von Cloudflare oder sowas.
Warum muß man das in jedem Browser einzeln einstellen?
So etwas gehört doch zentral in das Betriebssystem, oder?
Das nannte ich als Beispiel zum Ausprobieren. Du kannst es auf Systembasis setzen, auf Netzwerkbasis….such dir was aus.
Ich nutze seit geraumer Zeit den DNS Resolver von dnsforge auf dem iPhone auf Geräteebene und zuhause am Router fürs ganze Netzwerk und bin bisher sehr zufrieden damit vor allem mit dem eingebauten Werbeblocker. Ein neuer DNS Resolver kommt bei mir nur zum Einsatz wenn er besser ist als dieser.
Oder noch weiter oben in den Router. Dann haben direkt alle Geräte dahinter was von. Leider kann man bei den meisten gestellten Routern keinen eigenen DNS mehr setzten. Bei Vodafone so, selbst mit einer FRITZ!Box.
bei der Vodafone Cabel FritzBox funktioniert es.
Hab auf dem Gäste Netz den Standard und auf meinem Hauptnetz PiHole und Unbound. Funktioniert zuverlässig auch mit der durch Vodafone bereitgestellten FritzBox Cabel
@NanoPolymer
Auch ich wollte so einen DNS Server zentral im Router eintragen. Irgenwann gab es Probleme, weil Freunde in meinem Netz einige Spiele nicht mehr erreichten.
Darauf hin habe ich den DNS Server wieder zurück gesetzt und alles lief reibungslos.
Nun trage ich die DNS Server nur in meinen eigenen Geräten ein.
Ich hab den „normalen“ Kabel-Router von Vodafone. Direkt kann man es nicht einstellen, das stimmt. Aber da man Pi-Hole auch als DHCP nutzen kann, übernimmt dieser die Netzwerk-Konfiguration aller Geräte vor. Im Router kann man DHCP deaktivieren. So funktioniert es wunderbar.
Nutze aktuell auch dnsforge und bin sehr zufrieden. Gab schon mal ein Problem auf einer Seite. Nach dem Melden war die Ausnahme innerhalb von 1 Tag drin!
Hallo Simon,
habe hier das gleich Szenario und würde eigentlich auch gerne auf Pi-Hole wechseln. Hast du zu deiner Umsetzung einen Link oder so?
Vielen Dank!
Das geht nur bei der alten Gurke mit Wifi5, hast du das neuere, vermeintlich bessere Gerät mit wifi6, kannst du an dem Elektroschrotthaufen gar nichts mehr einstellen.
sollte es noch gehen, dhcp am Modem aus, dhcp am pi hole an, pinhole hat eine gute Dokumentation dazu.
aber grundsätzlich schmeiß das sogenannte Modem in die Tonne und kauf dir möglichst selbst ein Gerät. Weder ist dieser Haufen Elektroschrott Modem und noch viel weniger Router.
Bei mir im Vodafone Kabelnetz mit ein Fritzbox 6591 von Vodafone kann ich den DNS ändern. Das geht aber auch erst seit dem letzten oder vorletzten Update, davon gibt es ja nicht so viele. 😀
Unter: Internet > Zugangsart > 2. Reiter, steht „DNS-Server“
Du kannst das auch am Router fest einstellen.
Wenn zentral dann gehört es im Router eingetragen!
Konnte man sich keine schöneren IPv4 Adressen besorgen?
Die aktuellen sind:
193.110.81.0
185.253.5.0
so wie 192.168.1.0?
Zuhause nutze ich immer 127.0.0.1 – die kann ich mir gut merken
Na dann nimm doch die IPv6 wenn dir die v4 nicht hübsch genug sind 😉
2a0f:fc80::
2a0f:fc81::
IPv4 wird sowieso in den RFCs als Legacy bezeichnet;)
Eie Zeiten in denen Adressen wie 8.8.8.8 frei sind, sind schon länger vorbei.
Kann man ja leider nicht mehr bezahlen.
Wie sieht es hier mit dem Speed ggü. diversen Platzhirschen aus?
Hab gerade mal DNS Bench rüberlaufen lassen. Ordnet sich hinter Cloudflare, Google und Quad9 aber vor den OpenDNS-Servern ein. Also durchaus brauchbar für ein Setting mit parallelen Queries der Upstreams (bei mir AGH)
Ganz nette Sache und auch, dass NextDNS-Leute dabei sind. Mobil nutze ich nämlich sehr zufrieden NextDNS als systemweiten Adblocker (unabhängig von VPN, keine zusätzliche Belastung des Geräts, kein PiHole oder so zu managen, Config-Panel immer ohne VPN erreichbar).
Da ich bei NextDNS die Filter selbst setzen und gängige Filterlisten abonnieren kann, bleibe ich erst einmal da, die 300.000 Anfragen pro Monat reichen dicke.
Zuhause sind digitalcourage, zivile Gesellschaft, CCC usw. beim DNS over TLS eingetragen, da kann ich selbst filtern mit uBlock usw..
Wenn sich jemand an einer möglichen Sperrung umstrittener Seiten stört kann er das ja auch so machen. Aber eine einfache, europäische und topologisch nahe Konkurrenz zu Google&Co ist zu begrüßen. Vor allem, wenn der ISP einem „Suchvorschläge anbietet“, anstatt sauberes „not found“ zu melden.
guter Tipp! Klingt nach einer bequemen Alternative für das Mobiltelefon. Werde ich mal ausprobieren.
Hab ich bei mir am Handy auch so eingerichtet, nur noch zusätzlich in Verbindung mit Tasker um DoT in meinen WLANs auszuschalten für dann mögliche lokale Namensauflösungen. DoT Funktioniert eigentlich immer Problemlos außer an Telekom_SIM Hotspots die Port 853 wohl blockieren.
Man kann übrigens mit Tasker den privaten DNS in Android ein- und ausschalten, wenn man zuvor einen adb befehl abschickt, womit Tasker auf secure settings zugreifen kann, u.a. halt das aktivieren vom systemweiten privaten DNS Resolver. Anschließend kann man einfache Automationen basteln, z.B. Wenn kein WLAN –> aktiviere Privates DNS… Noch was: Es funktioniert nur DoT. Eigentlich ist in Android 13 auch DoH integriert, aber anscheinend nur für Cloudflare und Google vorbehalten. Unterwegs kann man dann NextDNS, controlD oder AdguardDNS nutzen und zuhause falls gewünscht(!) Adguard Home mit eigenen Filterlisten, falls man kein Bock hat oder Bedenken hat, dass NextDNS alle DNS Anfragen sieht.
Aber das heißt doch das NextDNS Profile erstellt und das ganze Trackt ?
gibt doch mehr als genug DNS Anbieter die das machen. also nonprofit, no Log Policy usw.
„Ein kostenloser, souveräner und GDPR-konformer rekursiver DNS-Resolver mit einem starken Fokus auf Sicherheit zum Schutz der Bürger und Organisationen der Europäischen Union, das Ganze als französische Non-Profit-Organisation.“
Ohne Impressum oder Ansprechpartner in der Datenschutzerklärung wage ich die GDPR-konformität zu bezweifeln.
Stimmt …
Die Webseite „dns0.eu“ behintert die Wahrnehmung des Art.15 DSGVO (Auskunftsersuchen) und verstößt gegen §5 Telemediengesetz (TMG). Jeder Diensteanbieter (hier DNS-Service) ist zur unmitelbaren Angabe (max. 2 Klicks entfernt) einer ladungsfähigen Anschrift verpflichtet.
Ist eigentlich noch keinem aufgefallen, dass die beiden IPs lt. Talos Intelligence in den USA verortet sind?
Ohne Impressum und Ansprechpartner in der Datenschutzerklärung halte ich die GDPR-Konformität für unglaubwürdig.
Also „bei mir“ sind die beide in Belgien https://www.abuseipdb.com/check/185.253.5.0
Ich habe vor der EU und ihrer technologischen Inkompetenz mehr Angst, als vor den Amis.
8.8.8.8 passt für mich weiterhin.
Ich würde Quad9 9.9.9.9 oder Cloudflare 1.1.1.1 nutzen, aber nicht Google. Quad9 ist sehr gut gegen Malwareseiten.
Sind doch 3 und nicht nur 2 Server: Normal, Zero und Kids. Wo der unterschied zwischen Normal und Zero ist, weiß ich nicht.
Ich würde sagen, es sind vier: open.dns0.eu gibt es als ungefilterte Variante auch noch.
Kids soll für Kinder ungeeignete Inhalte filtern.
Zero ist für hochsensible Bereiche gedacht. Auf https://www.dns0.eu/de/zero steht: Erhöhte Erkennungsrate für bösartige Domains – insbesondere in der gefährlichen Frühphase – durch die Kombination von durch Menschen geprüften Bedrohungsinformationen mit fortschrittlicher Heuristik, die automatisch gefährliche Muster erkennt.
Wer etwas vertrauenswürdigeres sucht, sollte sich mal dnsforge.de anschauen.
unbound…
Kann der neue dns0 auch irgendwas sicheres?
Also damit meine ich DNSSEC oder DNS over TLS?
Oder ist das nur ein primitiver öffentlicher DNS Server in der EU der nur unverschlüsselt arbeitet?
Ja
DNS-over-TLS/QUIC
dns0.eu
DNS-over-HTTPS
https://dns0.eu
„Wer nichts zu verbergen hat, hat auch nichts zu befürchten.“
War doch so, oder? Und wer wollte sich schon outen, was zu verbergen zu haben? Als Konsequenz diskutieren wir jetzt hier welcher DNS-Server am wenigsten zensiert ist und die wenigsten Einschränkungen mit sich bringt… 😉
Ich nutze DNS over TLS mit amerikanischen Nameservern. Warum sollte ich europäische nutzen, die bei jeder Polizeianfrage sofort die Daten rausgeben? Die vielleicht extra dafür geschaffen wurden, damit man leichter an die Daten der Nutzer kommt?
Nutz doch einen europäischen der nicht logt (gibt mehr als genug).
Da kann auch die Polizei nix holen. 😉
und die amerikanischen machen das nicht ?
wie wäre es mit einem No-Log DNS resolver ?
Wirklich anonymes DNS geht nur per DNSCrypt mit Relay oder ODoH. Geht natürlich zu Lasten der Performance. Aber vermutlich immer noch besser als ne direkte TLS Verbindung zu US Resolvern.
Schön dass hier bei der Diskussion jeder nur einwirft, welcher zentrale! DNS Anbieter noch weniger speichert und loggt und „cooler“ ist, dabei aber schlicht eines der am Meisten kritisierten Themen ignoriert: DNS wurde für Dezentralisierung gebaut damit nicht alles von ein zwei Servern abgespult wird und damit leicht außer Betrieb zu nehmen ist. Egal ob Google, Cloudflare oder quad9, inzwischen sind es 2-3 Hand voll Dienste über die überall diskutiert wird. Der Rest bekommt die DNSe vom Provider gepusht – oft mit schlechtem Ergebnis weil man nicht transparent macht, was dort geblockt, umgeleitet oder geloggt wird. Statt aber einfach noch mehr zentrale Resolver aufzumachen um wieder mehr Zugriffe zu zentralisieren, wäre es einfacher den Leuten zu zeigen, wie sie sich bspw. mittels PiHole (oder AdGuard oder whatever) einen eigenen Resolver ins Haus stellen der Zugriffe dann via DNS Roots auflöst. Ja das läuft dann nicht via fancy DoH oder DoT, die Schutzvektoren gegen Abschnüffelei von DNS von einem dt. Provider (also aktives Mitloggen vom Datenverkehr!) sind aber in der EU/DE durch DSGvO immens höher als mal kurz ins Log eines DNS zu schauen. Und wenn mein Privacy Vektor „nation state attacker“ also Absicherung gegen Abhören von Behörden/Land selbst ist, dann habe ich bereits andere Probleme und muss mein Verhalten im Netz via OpSec eh ändern und kontrollieren um keine Spuren zu hinterlassen (und nein, nur ein VPN anmachen bringt da nichts).
Darum wäre allein um die Zentralisierung von Diensten, Zensur und Datenerfassung über zentralen DNSe zu unterbinden es wesentlich sinnvoller einen Resolver gegen die Root Server auflösend selbst zu fahren.
Das bringt dir gleichen Vorteile wie sich irgendeinen freien DNS Forwarder reinzuladen, plus wenn das zentrale System mal wieder down ist geht immer noch alles. Und man kann damit intern weiterhin seine eigenen Dienste und seinen Kram selbst per DNS auflösen die man vllt betreibt, was ansonsten nicht mehr klappt, da ein outside DNS von den eigenen Diensten intern natürlich keine Ahnung hat.
Cheers
Ich lese ganz gerne tagespolitische Verlautbarungen an den (Regierungs) Quellen (USA, China, RU, NK) und möchte dabei ungern betreut oder notiert werden. Europäische DNS-Dienste sind da ganz sicher nicht meine erste Wahl.