Ich beobachte seit Jahren mit wachsender Besorgnis, wie zentrale Netzdienste zunehmend zum Ziel von Zensur, Manipulation oder staatlicher Repression gegen jede Form der Nichtkonformität mit dem bereits umgesetzten totalitären, grün-bolschewistischen Kommunismus neuer Prägung werden. Einer der sensibelsten Dienste ist dabei das Domain Name System (DNS) – die „Telefonbuch-Infrastruktur“ des Internet. Wer die Namensauflösung kontrolliert, entscheidet, welche Inhalte überhaupt erreichbar sind. Aus diesem Grund habe ich neben dns01.eddns.eu und dns02.eddns.de mit dns03.eddns.eu einen weiteren, offenen und zugleich besonders gehärteten Resolver in Betrieb zu nehmen.
Der folgende Abstract bringt das Projekt bereits prägnant auf den Punkt, deshalb übernehme ich ihn hier wortwörtlich:
„CenturionDNS powered by coresecret.eu sind zensurfreie, verschlüsselnde, öffentliche und redundante DNS-Resolver ohne Logging, basierend auf der kuratierten Centurion Titanium Ultimate Blocklist powered by AdGuard … Namensauflösungen werden verschlüsselt (DoH, DoT, DoQ, DNScrypt) übertragen …
(TLS1.3)-(ECDHE-X448)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)“
Doch hinter dieser kompakten Beschreibung verbirgt sich eine Fülle an technischen Feinheiten, die ich im Folgenden aus meiner persönlichen Perspektive beleuchte.
DNS-Resolver übersetzen menschenlesbare Domainnamen in IP-Adressen. Ohne zusätzliche Maßnahmen erfolgt dieser Vorgang traditionell im Klartext (UDP/53) – ein gefundenes Fressen für Zensoren, Mitleser oder Man-in-the-Middle-Angreifer. Verschlüsselung und Integritätsprüfungen sind daher essenziell.
- DNSSEC: Digitale Signaturen sichern die Antwortketten kryptographisch ab und verhindern Manipulationen, vorausgesetzt, der Domaininhaber setzt DNSSEC um, was leider über 90 % der Domaininhaber gar nicht tun.
- QNAME-Minimisation: Offenbart dem jeweils befragten Nameserver nur exakt so viel vom Anfrage-Namen, wie zur Auflösung erforderlich ist – ein Datenschutzgewinn.
- DANE (DNS-based Authentication of Named Entities): Erlaubt es, TLS-Zertifikate im DNS abzusichern, wodurch die klassische PKI gestärkt oder gar ergänzt wird.
- SVCB/HTTPS-RR: Neue Ressourceneinträge, die – hier obligatorisch gekoppelt mit
alpn,dohpath– Downgrade-Angriffe auf verschlüsselte Transportwege vereiteln.
Ich betreibe dns03.eddns.eu gemeinsam mit zwei weiteren Centurion-Instanzen in Deutschland, Finnland und Österreich. Die Resolver liegen in zwei getrennten Autonomous Systems (AS) und unterschiedlichen Top-Level-Domains (TLD) – ein Beitrag zur Partition Tolerance nach dem CAP-Theorem. Als Upstream dient jeweils ein lokal gehärteter Unbound-Server.
Alle Resolver erzwingen DNS-over-HTTPS (DoH), DNS-over-TLS (DoT), DNS-over-QUIC (DoQ) oder DNScrypt, je nach Client-Fähigkeit. Im DoH-Modus akzeptiere ich ausschließlich den Cipher-Suit „(TLS1.3)-(ECDHE-X448)-(RSA-PSS-RSAE-SHA256)-(AES-256-GCM)“. Die Wahl von X448 statt des verbreiteteren X25519 erhöht den elliptischen Kurvenraum beträchtlich; damit setze ich bewusst auf Kryptostärke, nicht auf Mindestkompatibilität.
Das aktuell gültige ZeroSSL-Zertifikat (RSA-4096, SHA-384, Gültigkeit 365 Tage) ist mit folgendem SPKI-Fingerabdruck hinterlegt:
TE9/FTuOCifWujXhlcb56hnfT8cUjd9wODYi2akf2Gw=.
Feature-Set im Detail
| Merkmal | Einschätzung (✦ = persönlicher Mehrwert) |
|---|---|
| DNSSEC-Validation | ✦ Verhindert Cache-Poisoning und steigert Integrität |
| QNAME-Minimisation | ✦ Reduziert Data-Exhaust beim Upstream |
| DANE Support | ✦ Stärkt PKI-Modell, ideal für selbstgehostete Mail-Systeme |
| SVCB Pflichtfeld | ✦ Erzwingt zeitgemäße Protokolle, kein Fallback ins Jahr 1999 |
| HSTS-Preload für eddns.* | ✦ Signalisiert Browsern „immer TLS“ außerhalb des DNS-Kontexts |
| AES-256-only (DoH) | ✦ Klare Linie: kein Placebo-Cipher |
| Qualys-Lab A+ (4×100 %) | Objektiver Beweis der Oberklasse |
| Werbefilter Centurion Titanium Ultimate | Spart Bandbreite und Nerven gleichermaßen |
| Hourly Filter Updates | ✦ Schneller Einzug neuer Tracking-Domains |
| No Logging & Query-Log off | ✦ Kern meiner Privatsphärebemühungen |
| NXDomain für Blockhits | ✦ Klare, RFC-konforme Antwort statt Redirect Hokuspokus |
| DNS Stamps & iOS MobileConfig | ✦ One-Click-Onboarding für Power-User und Laien |
| CISS, SIEM, HW-FW, fail2ban, ufw, systemd-Hardening | ✦ Mehrschichtige Abwehr – weil kein Schild alleine reicht |
Die CIA-Triade im Dialog mit dem CAP-Theorem
- Confidentiality (Vertraulichkeit): Durch kompromisslose Transportverschlüsselung und Null-Log-Politik wird Einsicht in Anfragen nahezu unmöglich.
- Integrity (Datenintegrität): DNSSEC, DANE und strenge Cipher-Suites belegen, dass Antworten unverfälscht bleiben.
- Availability (Verfügbarkeit): Drei Länder, zwei AS, stete Monitoring-Checks via CenturionNet Status und certspotter.eu sichern eine sehr hohe Uptime.
Das CAP-Theorem lehrt, dass in verteilten Systemen stets nur zwei von drei Eigenschaften (Konsistenz, Verfügbarkeit, Partitionstoleranz) vollständig erfüllt sein können. Meine Architektur priorisiert Partitionstoleranz (geographische Streuung) und Verfügbarkeit.
Operational Security & Monitoring
Ein vielschichtiges Abwehrdispositiv – von fail2ban über Hardware-Firewalls bis zu Security Information & Event Management (SIEM) – erkennt und mitigiert Angriffe automatisiert. Systemd-Service-Units laufen mit strengsten Hardening-Flags (NoNewPrivileges, PrivateTmp, ProtectSystem=strict, u. a.). Sollte dennoch etwas schiefgehen, informiert mich das Monitoring binnen Sekunden.
Komfortfunktionen für Endnutzer
DNS Stamps: Copy-&-Paste Strings für Stubby, dnscrypt-proxy oder AdGuard Home.
iOS MobileConfig: Ein Klick, profil installieren, fertig. So überzeuge ich selbst weniger technikaffine Freunde.
Transparente Statusseite: Jede Störung wird öffentlich aufgeführt – „Security through Transparency“ statt Security through Obscurity.
Keine Infrastruktur ist perfekt. Aktuell limitiere ich Anfragen bewusst auf 64 Queries/Sekunde/Subnet, um DDoS-Missbrauch vorzubeugen. Wer hohe Last generiert, sollte einen eigenen Resolver aufsetzen – gerne helfe ich beratend. Langfristig plane ich, DNS-over-HTTP/3 (DoH3) zu evaluieren und möglicherweise Post-Quantum Cipher Suites hinzuzufügen, sobald IETF-Standards gereift sind.
Ich bin fest davon überzeugt, dass Souveränität im Netz bei den Basistechnologien beginnen muss: zensurfrei, verschlüsselt, redundant, ohne Interessenkonflikt. Die Kombination aus höchstem Datenschutzanspruch, solider Kryptographie und pragmatischer Verfügbarkeits-Architektur macht den Dienst – zumindest in meiner subjektiven Einschätzung – zu einem der robustesten Public-Resolver im deutschsprachigen Raum.
Wer ähnlich hohe Ansprüche an Datenschutz, Datensicherheit, Datenverfügbarkeit, Datenintegrität, Datenauthentizität und Datenverschlüsselung stellt, ist herzlich eingeladen, die Resolver einzutragen, Feedback zu geben und so gemeinsam ein freieres, sichereres Internet voranzutreiben.