DoT und DoH für JusProgDNS

JusProgDNS kann als Jugendschutzfilter auch mit „DNS over TLS“ (DoT) und „DNS over HTTPS“ (DoH) in Systeme eingebunden werden, insbesondere in MDM-Systeme wie zum Beispiel jamf.

Hinweis: Unsere DoT / DoH Lösung ist bislang im Beta-Stadium. Bitte testen Sie ausgiebig, bevor Sie das Jugendschutzprogramm ausrollen. Wir freuen uns über Erfahrungsberichte über das Kontaktformular.

DNS over HTTPS (DoH)

Bitte nutzen Sie diese DoH-Einträge:

  • Altersstufe ab 0 Jahren: https://doh0.jusprogdns.com/dns-query
  • Altersstufe ab 6 Jahren: https://doh6.jusprognds.com/dns-query
  • Altersstufe ab 12 Jahren: https://doh12.jusprogdns.com/dns-query
  • Altersstufe ab 16 Jahren: https://doh16.jusprogdns.com/dns-query

Es wird der Standard HTTPS Port (443) genutzt. Die Implementierung muss hierbei dem RFC8484 entsprechen und im Wesentlichen den Accept-Header: application/dns-message nutzen. Siehe auch https://datatracker.ietf.org/doc/html/rfc8484.

DNS over TLS (DoT)

Bitte nutzen Sie diese DoT-Einträge:

  • Altersstufe ab 0 Jahren: dot0.jusprogdns.com:853
  • Altersstufe ab 6 Jahren: dot6.jusprognds.com:853
  • Altersstufe ab 12 Jahren: dot12.jusprogdns.com:853
  • Altersstufe ab 16 Jahren: dot16.jusprogdns.com:853

Da TLS nur bei TCP möglich ist, ist der gesicherte Abruf nicht mehr über UDP möglich. Wir nutzen hier den für DoT definierten „Standard“-Port 853. Siehe auch https://datatracker.ietf.org/doc/html/rfc7858.

Hinweise

Wichtig: Bitte tragen Sie immer auch die für die Altersstufe passenden IP-Adressen für Nameserver-Abfragen ohne DoH / DoT parallel in das System ein, denn Browser und andere Systeme haben einen kurzen Timeout für NS-Anfragen über DoT/DoH und springen dann auf die unverschlüsselten IP-Nameserver zurück, die im System konfiguriert sind – diese sollten auch eine Jugendschutz-Funktion beinhalten und nicht die Default-IP-Adressen z.B. des Providers ohne Jugendschutzfilter sein. Die IP-Adressen der JusProg-Nameserver erfahren sie hier.

Hinweis: Grundsätzlich ist die Einbindung von IP-Adressen für Nameserver-Abfragen zu bevorzugen und DoT / DoH nur dann empfehlenswert, wenn Sie die IP-Adressen nicht in Ihr System eintragen können oder DoT / DoH zur zusätzlichen Absicherung einsetzen möchten. Hintergrund:  Die Einbindung von IP-Adressen ist performanter (bei DoT/DoH muss zunächst vom Browser die Nameserver-Domain aufgelöst werden, danach muss die TLS Verbindung aufgebaut werden und erst dann erfolgt die eigentliche NS-Abfrage) und beinhaltet kein Rücksprung-Risiko.

Hinweis bei Nutzung von Mozilla Firefox: Bitte beachten Sie die Ausführungen unter https://wiki.mozilla.org/Trusted_Recursive_Resolver und dort insbesondere den Abschnitt zu network.trr.mode. Hier sollte unbedingt der Wert 3 genutzt werden, um ein Umschalten auf einen ungeschützten Nameserver zu unterbinden.