DoT / DoH

DoT und DoH für JusProgDNS

DNS over HTTPS (DoH)

Bitte nutzen Sie diese DoH-Einträge:

• Altersstufe ab 0 Jahren: https://doh0.jusprogdns.com/dns-query
• Altersstufe ab 6 Jahren: https://doh6.jusprogdns.com/dns-query
• Altersstufe ab 12 Jahren: https://doh12.jusprogdns.com/dns-query
• Altersstufe ab 16 Jahren: https://doh16.jusprogdns.com/dns-query

Es wird der Standard HTTPS Port (443) genutzt. Die Implementierung muss hierbei dem RFC8484 entsprechen und im Wesentlichen den Accept-Header: application/dns-message nutzen. Siehe auch https://datatracker.ietf.org/doc/html/rfc8484.

Eigene Einstellungen mit DoH / MDM

Wenn Sie DoH für Ihre Schule und im Homeschooling auf z.B. iPads oder Android-Tablets z.B. mit MDM-Steuerung einsetzten möchten, sprechen Sie uns an. Wir stellen Ihnen dann individualisierte DoH-Links zur Verfügung, die die SuS-Geräte Ihrem JusProgDNS-Account zuordnen und dabei eigene Einstellungen wie White-und Blocklist berücksichtigen. Außerdem kann Ihnen auf diese Weise der Premium-Dienst mit verlässlicheren/schnelleren Servern und definierten Zugriffskontingenten bereitgestellt werden.

Beispiel für einen individuellen DoH-Link:
https://doh12.jusprogdns.com/kindername.accountname.passcode

Die Nutzung von DynDNS oder das Hinterlegen Ihrer IP-Adressen sind in diesem Fall nicht mehr notwendig. Der Schutz funktioniert auch Zuhause im heimischen WLAN mit dynamischen IP-Adressen. Es können auch bei gleicher IP-Adresse z.B. mehrerer Schulen in einem Netzwerk unterschiedliche Altersstufen konfiguriert werden.

Informationen zur Nutzung von DoH / MDM für Schulen und andere Kinder-/Jugendeinrichtungen im Premium Dienst erhalten Sie hier. Mit diesem Dienst können Sie iPads und Android Tablets im Homeschooling mit Jugendschutzfilter absichern.

DNS over TLS (DoT)

Bitte nutzen Sie diese DoT-Einträge:

• Altersstufe ab 0 Jahren: dot0.jusprogdns.com
• Altersstufe ab 6 Jahren: dot6.jusprognds.com
• Altersstufe ab 12 Jahren: dot12.jusprogdns.com
• Altersstufe ab 16 Jahren: dot16.jusprogdns.com

Hinweis: In einigen Netzwerken / Anwendungen ist die Ergänzung des genutzten Ports notwendig. Wenn die reine Subdomain nicht funktionieren sollte, probieren Sie eine Eingabe nach dem Muster „dot12.jusprogdns.com:853“ (ohne Anführungszeichen, aber mit dem Doppelpunkt vor dem :853), angepasst an die gewünschte Altersstufe.

Da TLS nur bei TCP möglich ist, ist der gesicherte Abruf nicht mehr über UDP möglich. Wir nutzen hier den für DoT definierten „Standard“-Port 853. Siehe auch https://datatracker.ietf.org/doc/html/rfc7858.

Hinweise

Wichtig: Bitte tragen Sie immer auch die für die Altersstufe passenden IP-Adressen für Nameserver-Abfragen ohne DoH / DoT parallel in das System ein, denn Browser und andere Systeme haben einen kurzen Timeout für NS-Anfragen über DoT/DoH und springen dann auf die unverschlüsselten IP-Nameserver zurück, die im System konfiguriert sind – diese sollten auch eine Jugendschutz-Funktion beinhalten und nicht die Default-IP-Adressen z.B. des Providers ohne Jugendschutzfilter sein. Die IP-Adressen der JusProg-Nameserver erfahren sie hier.

Hinweis: Grundsätzlich ist die Einbindung von IP-Adressen für Nameserver-Abfragen zu bevorzugen und DoT / DoH nur dann empfehlenswert, wenn Sie die IP-Adressen nicht in Ihr System eintragen können oder DoT / DoH zur zusätzlichen Absicherung einsetzen möchten. Hintergrund:  Die Einbindung von IP-Adressen ist performanter (bei DoT/DoH muss zunächst vom Browser die Nameserver-Domain aufgelöst werden, danach muss die TLS Verbindung aufgebaut werden und erst dann erfolgt die eigentliche NS-Abfrage) und beinhaltet kein Rücksprung-Risiko.

Hinweis bei Nutzung von Mozilla Firefox: Bitte beachten Sie die Ausführungen unter https://wiki.mozilla.org/Trusted_Recursive_Resolver und dort insbesondere den Abschnitt zu network.trr.mode. Hier sollte unbedingt der Wert 3 genutzt werden, um ein Umschalten auf einen ungeschützten Nameserver zu unterbinden.