Zensurfreier DNS-Server

"" by Der Herold is licensed under cc-by-nc-2.0

DNS-Server sind sowas wie die "Telefonbücher des Internets". Damit Sie die "Nummern" von Herrn Müller, Herrn Meier oder Frau Schulze finden können, schauen Sie (bzw. Ihr Computer) dort nach und "wählt" dann die entsprechende (IP-)Nummer. Was aber wenn jemand meint, dass die Nummer von Herrn Meier gar nicht ins Telefonbuch aufgenommen wird und damit niemand seine Nummer findet? Dafür gibt's dann "alternative Telefonbücher", in denen alle Numern aufgeführt werden, und nicht einzelne Nummern ‚wegzensiert‘ worden sind. So funktionieren auch unsere alternativen DNS-Server: Hier sind alle IP-Nummern aufgeführt, die Ihr Computer dann eben auch ‚connecten‘ kann. Wie Sie das bei Sich eintragen können, haben wir hier möglichst einfach beschrieben (aber ein bisschen fachsimpeln lässt sich – pardon – nicht ganz vermeiden).

Wir betreiben freie DNS-Server, weil wir zeigen wollen, dass Zensur umgangen werden kann – und ständig befürchten müssen, dass sie ausgeweitet wird. Der Anlass zur Einrichtung unseres zensurfreien Servers war das so genannte 🔗„Zugangserschwerungsgesetz“, mit dem bestimmte Inhalte im Internet zensiert werden sollten. Dieses Gesetz wurde 2009 vorgeschlagen und 2010 beschlossen, aber schon 2011 – auch dank unserer Arbeit – wieder vollständig aufgehoben. Die damalige Bundesfamilienministerin (und heutige EU-Kommissionpräsidentin) Ursula von der Leyen hatte sich für die Einführung der Internetzensur eingesetzt, die ihr den Namen „Zensursula“ eingebracht hat. Aber diese Zensurtechnik ist nicht nur übergriffig, sie kann von Interessierten auch mit wenig Aufwand umgangen werden (auch ohne unsere Hilfe). Vor allem werden so die Inhalte nicht entfernt, um die es bei diesen Vorhaben geht und die echten Schaden anrichten. Auch nach dem Aus des Zugangserschwerungsgesetzes gibt es immer wieder Vorschläge, eine Zensur in ähnlicher Form wieder einzurichten. Bürgerrechtler fordern stattdessen eine bessere Ausstattung in finanzieller und personeller Form für die zuständigen Polizeibehörden und ein „Löschen statt Sperren“.

Die Zensur von Inhalten im Internet ist nicht im Sinne der freien Meinungsäußerung und kann zur Verzerrung des politischen Meinungsbildes führen. Die Existenz einer nicht öffentlichen Zensurliste ist unvereinbar mit dem Gebot der Presse-, Informations- und Meinungsfreiheit. Erfahrungen aus anderen Staaten zeigen: Es gibt keine Garantie dafür, dass die Beschränkung der Maßnahme auf bestimmte Vergehen nicht durch weitere Beschlüsse aufgeweicht wird. Der Grundstein für eine weitreichende Zensur wäre gelegt. So wäre es ein leichtes, Websites von Gewerkschaften, Parteien, kritischer Presse, Nicht-Regierungs-Organisationen, unliebsamen Blogs etc. zu sperren. Eine demokratische und zivilgesellschaftliche Kontrolle ist unmöglich, da diese Listen nicht öffentlich zugänglich sein würden. Allein Polizeibehörden entscheiden, wer auf dieser Liste landet.

Um eine DNS-Zensur zu umgehen, müssen Sie einen zensurfreien DNS-Server verwenden. Wie Sie die entsprechende Einstellung verändern, ist abhängig vom verwendeten Betriebssystem. Weiterführende Berichterstattung zum „Zugangserschwerungsgesetz“ von 2009/10 finden Sie bei 🔗Heise ausführlich beschrieben.

Verschlüsselung der DNS-Anfragen mit DNS-over-TLS

Üblicherweise werden DNS-Anfragen nicht verschlüsselt. Deshalb können diese Anfragen auf dem Weg mitgelesen und manipuliert werden. Auch das wollen wir ändern. Unsere Server unterstützen verschlüsselte Verbindungen via DNS-over-TLS (DoT). Allerdings muss DoT bei den üblichen Betriebssystemen manuell konfiguriert werden.

Unsere Server

dns3.digitalcourage.de

Unsere neueste Hardware, exklusiv für verschlüsseltes DNS (bisher nur DoT):

  • Serverstandort: externes, deutsches Rechenzentrum
  • IPv4: 5.9.164.112
  • Port: 853
  • sha256 SPKI pinset: 2WFzfO2/56HpeR+v/l25NPf5dacfxLrudH5yZbWCfdo=
  • Common Name des Zertifikats (tls_auth_name): dns3.digitalcourage.de
  • Aussteller des Zertifikats: Let's Encrypt
  • kein Logging – nur im Fehlerfall (ohne Client-IP)

Aus technischen Gründen verwendet dieser Server eine andere IP im Backend (für den Resolver), weshalb bei üblichen DNS-Leaktests folgende IP angezeigt wird: 168.119.141.43 / dns3.digitalcourage.de

dns2.digitalcourage.de

Virtuelle Maschine für alle DNS-Spielarten:

  • Serverstandort: externes, deutsches Rechenzentrum
  • IPv4: 46.182.19.48 (bitte nicht mehr in neue Konfigurationen aufnehmen!)*
  • IPv6: 2a02:2970:1002::18 (bitte nicht mehr in neue Konfigurationen aufnehmen!)*
  • Port: 53 (unverschlüsseltes DNS)
  • Port: 853 (verschlüsseltes DNS, hierfür aber bitte dns3.digitalcourage.de nutzen)
  • sha256 SPKI pinset des Servers (tls_pubkey_pinset): v7rm6OtQQD3x/wbsdHDZjiDg+utMZvnoX3jq3Vi8tGU=
  • Common Name des Zertifikats (tls_auth_name): dns2.digitalcourage.de
  • Aussteller des Zertifikats: Let's Encrypt
  • kein Logging – nur im Fehlerfall

* In Spitzenzeiten versendet dns2.digitalcourage.de mittlerweile über 2000 erfolgreiche Antworten pro Sekunde. Viel mehr Leistung wird auf diesem Server leider nicht möglich sein. Wir danken für das Vertrauen und bitten, diesen Server nicht mehr in neue Konfigurationen einzutragen.

Aus technischen Gründen verwendet dieser Server eine andere IP im Backend (für den Resolver), weshalb bei üblichen DNS-Leaktests folgende IP angezeigt wird: 46.182.18.9 / dns2.digitalcourage.de

dns.digitalcourage.de

Dieser Server ist abgeschaltet. Bitte die IP aus vorhandenen Konfigurationen entfernen:

  • 85.214.20.141 (dauerhaft abgeschaltet)
  • 2a01:238:42f6:ac00:2a29:4f7f:b6d:ef46 (dauerhaft abgeschaltet)

Verfügbarkeit

Als gemeinnütziger Verein, der nur nebenbei öffentliche Infrastruktur betreibt, können wir keinen 100%-Dauerbetrieb garantieren, aber falls der Server hängt, kümmern wir uns darum.

Kein EDNS Client Subnet

Viele Großanbieter von Inhalten betreiben oder nutzen weltweit Rechenzentren (reddit, facebook, youtube, google, amazon, netflix, Mediatheken …). Damit die Nutzer.innen stehts mit einem Server in ihrer Nähe kommunizieren, werden unterschiedliche IP-Adressen für die Domain aufgelöst, je nach Client-IP. Damit dies auch dann funktioniert, wenn der DNS-Server eines anderen Anbieters wie Digitalcourage eingestellt wurde, wurde mit "EDNS Client Subnet" eine Erweiterung des DNS-Protokolls geschaffen. Der zuerst angefragte DNS-Server (etwa der von Digitalcourage) würde dann die IP-Anfrage des anfragenden Geräts an den für die jeweilige Anfrage zuständigen DNS-Server weiterleiten.

Damit ist es für die Großanbieter nicht nur möglich, zu sehen, welcher DNS-Anbieter verwendet wird, sondern auch, von welchem Internet-Anschluss aus eine Anfrage gestellt wurde. Schutzmaßnahmen zur Anonymisierung wie etwa ein HTTPS-Proxy sind dadurch weitgehend wirkungslos.

Wir haben uns deshalb dafür entschieden, "EDNS Client Subnet" auf unseren Servern zu deaktivieren. Beim Ansurfen von Großanbietern ist uns deshalb schon berichtet worden, dass die Inhalte manchmal langsamer als normal laden.

An Administrator.innen:

Damit der Dienst von möglichst vielen Menschen verwendet werden kann, wird auf allen Servern die Anzahl der Anfragen pro IP limitiert (ca. 50 pro Sekunde). Für Tor-Exits, Mailserver, Freifunk-Gateways, etc. mit mehr als 200 gleichzeitigen Clients können wir auf Anfrage (mit IP und Netzmaske) gerne deutlich mehr Bandbreite einräumen.

Bevor wir's vergessen zu erwähnen: Auch das Betreiben eines zensurfreien DNS-Servers kostet Geld. Unterstützen Sie unsere Arbeit mit einer Spende oder – noch besser – werden Sie Fördermitglied. Danke!

(Bild: Der Herold cc-by-nc 2.0)

Letzte Aktualisierung: 29.03.2021

Veröffentlicht am 20.08.2013

Marktstraße 18
33602 Bielefeld

Spendenkonto
IBAN: DE66 4805 0161 0002 1297 99
BIC: SPBIDE3BXXX
Sparkasse Bielefeld