Zensurfreier DNS-Server

Wir betreiben den freien DNS-Server dns3.digitalcourage.de. Dafür, dass wir das schon so lange anbieten können, gilt besonderer Dank unseren Mitgliedern und Spenderinnen und Spendern.

DNS-Server sind sowas wie die „Telefonbücher des Internets“. Damit Sie die „Nummern“ von Herrn Müller, Herrn Meier oder Frau Schulze finden können, schauen Sie (bzw. Ihr Computer) dort nach und „wählt“ dann die entsprechende (IP-)Nummer. Was aber wenn jemand meint, dass die Nummer von Herrn Meier gar nicht ins Telefonbuch aufgenommen wird und damit niemand seine Nummer findet? Dafür gibt's dann „alternative Telefonbücher“, in denen alle Nummern aufgeführt werden, und nicht einzelne Nummern ‚wegzensiert‘ worden sind. So funktionieren auch unsere alternativen DNS-Server: Hier sind alle IP-Nummern aufgeführt, die Ihr Computer dann eben auch ‚connecten‘ kann. Wie Sie das bei sich eintragen können, haben wir hier möglichst einfach beschrieben (aber ein bisschen fachsimpeln lässt sich – pardon – nicht ganz vermeiden).

Unser DNS-Server

dns3.digitalcourage.de

Unsere neueste Hardware, exklusiv für verschlüsseltes DNS (bisher nur DoT):

  • Serverstandort: externes, deutsches Rechenzentrum
  • IPv4: 5.9.164.112
  • IPv6: 2a01:4f8:251:554::2
  • Port: 853
  • sha256 SPKI pinset: 2WFzfO2/56HpeR+v/l25NPf5dacfxLrudH5yZbWCfdo=
  • Common Name des Zertifikats (tls_auth_name): dns3.digitalcourage.de
  • Aussteller des Zertifikats: Let's Encrypt
  • kein Logging – nur im Fehlerfall (ohne Client-IP)

Aus technischen Gründen verwendet dieser Server eine andere IP im Backend (für den Resolver), weshalb bei üblichen DNS-Leaktests folgende IP angezeigt wird: 168.119.141.43 / dns3.digitalcourage.de

Unseren DNS-Server betreiben wir schon seit vielen Jahren. Server kosten Geld und wollen ständig betreut werden. Dies können wir nur leisten, weil uns viele Menschen regelmäßig unterstützen. Ermöglichen auch Sie diese Arbeit mit einer Spende oder noch wirksamer mit einer Mitgliedschaft.

Warum braucht man das?

Wir betreiben freie DNS-Server, weil wir zeigen wollen, dass Zensur umgangen werden kann – und ständig befürchten müssen, dass sie ausgeweitet wird. Der Anlass zur Einrichtung unseres zensurfreien Servers war das so genannte 🔗„Zugangserschwerungsgesetz“, mit dem bestimmte Inhalte im Internet zensiert werden sollten. Dieses Gesetz wurde 2009 vorgeschlagen und 2010 beschlossen, aber schon 2011 – auch dank unserer Arbeit – wieder vollständig aufgehoben. Die damalige Bundesfamilienministerin (und heutige EU-Kommissionpräsidentin) Ursula von der Leyen hatte sich für die Einführung der Internetzensur eingesetzt, die ihr den Namen „Zensursula“ eingebracht hat. Aber diese Zensurtechnik ist nicht nur übergriffig, sie kann von Interessierten auch mit wenig Aufwand umgangen werden (auch ohne unsere Hilfe). Vor allem werden so die Inhalte nicht entfernt, um die es bei diesen Vorhaben geht und die echten Schaden anrichten. Auch nach dem Aus des Zugangserschwerungsgesetzes gibt es immer wieder Vorschläge, eine Zensur in ähnlicher Form wieder einzurichten. Bürgerrechtler fordern stattdessen eine bessere Ausstattung in finanzieller und personeller Form für die zuständigen Polizeibehörden und ein „Löschen statt Sperren“.

Die Zensur von Inhalten im Internet ist nicht im Sinne der freien Meinungsäußerung und kann zur Verzerrung des politischen Meinungsbildes führen. Die Existenz einer nicht öffentlichen Zensurliste ist unvereinbar mit dem Gebot der Presse-, Informations- und Meinungsfreiheit. Erfahrungen aus anderen Staaten zeigen: Es gibt keine Garantie dafür, dass die Beschränkung der Maßnahme auf bestimmte Vergehen nicht durch weitere Beschlüsse aufgeweicht wird. Der Grundstein für eine weitreichende Zensur wäre gelegt. So wäre es ein leichtes, Websites von Gewerkschaften, Parteien, kritischer Presse, Nicht-Regierungs-Organisationen, unliebsamen Blogs etc. zu sperren. Eine demokratische und zivilgesellschaftliche Kontrolle ist unmöglich, da diese Listen nicht öffentlich zugänglich sein würden. Allein Polizeibehörden entscheiden, wer auf dieser Liste landet.

Um eine DNS-Zensur zu umgehen, müssen Sie einen zensurfreien DNS-Server verwenden. Wie Sie die entsprechende Einstellung verändern, ist abhängig vom verwendeten Betriebssystem. Weiterführende Berichterstattung zum „Zugangserschwerungsgesetz“ von 2009/10 finden Sie bei 🔗Heise ausführlich beschrieben.

Verschlüsselung der DNS-Anfragen mit DNS-over-TLS

Üblicherweise werden DNS-Anfragen nicht verschlüsselt. Deshalb können diese Anfragen auf dem Weg mitgelesen und manipuliert werden. Auch das wollen wir ändern. Unsere Server unterstützen verschlüsselte Verbindungen via DNS-over-TLS (DoT). Allerdings muss DoT bei den üblichen Betriebssystemen manuell konfiguriert werden.

Wir setzen uns für Ihre Privatsphäre und Grundrechte ein. Werden Sie Fördermitglied bei Digitalcourage.

Verfügbarkeit

Als gemeinnütziger Verein, der nur nebenbei öffentliche Infrastruktur betreibt, können wir keinen 100%-Dauerbetrieb garantieren, aber falls der Server hängt, kümmern wir uns darum.

Wir stellen eine Statusseite unter status.digitalcourage.de zur Verfügung.

Kein EDNS Client Subnet

Viele Großanbieter von Inhalten betreiben oder nutzen weltweit Rechenzentren (Reddit, Facebook, YouTube, Google, Amazon, Netflix, Mediatheken …). Damit die Nutzer.innen stets mit einem Server in ihrer Nähe kommunizieren, werden unterschiedliche IP-Adressen für die Domain aufgelöst, je nach Client-IP. Damit dies auch dann funktioniert, wenn der DNS-Server eines anderen Anbieters wie Digitalcourage eingestellt wurde, wurde mit "EDNS Client Subnet" eine Erweiterung des DNS-Protokolls geschaffen. Der zuerst angefragte DNS-Server (etwa der von Digitalcourage) würde dann die IP-Anfrage des anfragenden Geräts an den für die jeweilige Anfrage zuständigen DNS-Server weiterleiten.

Damit ist es für die Großanbieter nicht nur möglich, zu sehen, welcher DNS-Anbieter verwendet wird, sondern auch, von welchem Internet-Anschluss aus eine Anfrage gestellt wurde. Schutzmaßnahmen zur Anonymisierung wie etwa ein HTTPS-Proxy sind dadurch weitgehend wirkungslos.

Wir haben uns deshalb dafür entschieden, "EDNS Client Subnet" auf unseren Servern zu deaktivieren. Beim Ansurfen von Großanbietern ist uns deshalb schon berichtet worden, dass die Inhalte manchmal langsamer als normal laden.

An Administrator.innen:

Damit der Dienst von möglichst vielen Menschen verwendet werden kann, wird auf allen Servern die Anzahl der Anfragen pro IP limitiert (ca. 50 pro Sekunde). Für Tor-Exits, Mailserver, Freifunk-Gateways, etc. mit mehr als 200 gleichzeitigen Clients können wir auf Anfrage (mit IP und Netzmaske) gerne deutlich mehr Bandbreite einräumen.

Bevor wir's vergessen zu erwähnen: Auch das Betreiben eines zensurfreien DNS-Servers kostet Geld. Unterstützen Sie unsere Arbeit mit einer Spende oder – noch besser – werden Sie Fördermitglied. Danke!

Weitere datenschutzfreundliche Tools und Hilfsmittel finden Sie unter Swarm Support.

Alte Server

Nur zu Archivzecken. Bitte nicht mehr nutzen.

dns2.digitalcourage.de

Virtuelle Maschine für alle DNS-Spielarten:

  • Serverstandort: externes, deutsches Rechenzentrum
  • IPv4: 46.182.19.48 (bitte nicht mehr in neue Konfigurationen aufnehmen!)*
  • IPv6: 2a02:2970:1002::18 (bitte nicht mehr in neue Konfigurationen aufnehmen!)*
  • Port: 53 (unverschlüsseltes DNS)
  • Port: 853 (verschlüsseltes DNS, hierfür aber bitte dns3.digitalcourage.de nutzen)
  • sha256 SPKI pinset des Servers (tls_pubkey_pinset): v7rm6OtQQD3x/wbsdHDZjiDg+utMZvnoX3jq3Vi8tGU=
  • Common Name des Zertifikats (tls_auth_name): dns2.digitalcourage.de
  • Aussteller des Zertifikats: Let's Encrypt
  • kein Logging – nur im Fehlerfall

* In Spitzenzeiten versendet dns2.digitalcourage.de mittlerweile über 2000 erfolgreiche Antworten pro Sekunde. Viel mehr Leistung wird auf diesem Server leider nicht möglich sein. Wir danken für das Vertrauen und bitten, diesen Server nicht mehr in neue Konfigurationen einzutragen.

Aus technischen Gründen verwendet dieser Server eine andere IP im Backend (für den Resolver), weshalb bei üblichen DNS-Leaktests folgende IP angezeigt wird: 46.182.18.9 / dns2.digitalcourage.de

dns.digitalcourage.de

Dieser Server ist abgeschaltet. Bitte die IP aus vorhandenen Konfigurationen entfernen:

  • 85.214.20.141 (dauerhaft abgeschaltet)
  • 2a01:238:42f6:ac00:2a29:4f7f:b6d:ef46 (dauerhaft abgeschaltet)