Wie geht das iPhone mit DNS-Anfragen bei aktiviertem Private Relay um?
- Grundprinzip von iCloud Private Relay
- DNS-Anfragen im Kontext von Private Relay
- Auswirkungen auf das Nutzererlebnis und die Netzwerklösung
- Fazit
Apple hat mit iOS 15 die Funktion iCloud Private Relay eingeführt, die Bestandteil des Datenschutz-Angebots für iCloud+-Abonnenten ist. Diese Funktion soll das Surfen im Internet sicherer und privater machen, indem sie die IP-Adresse und den Ort des Nutzers anonymisiert. Bei dieser Maßnahme stellt sich die Frage, wie genau das iPhone DNS-Anfragen handhabt, wenn Private Relay aktiviert ist.
Grundprinzip von iCloud Private Relay
Private Relay arbeitet durch das Zwischenschalten zweier Relay-Server: Der erste Server, betrieben von Apple, verschlüsselt und verarbeitet die IP-Adresse des Nutzers, während der zweite Server, betrieben von einem vertrauenswürdigen Partner, die tatsächliche IP-Adresse vom ersten Relay erhält und die Domain-Anfrage stellt. Wichtig ist, dass keiner der Server alleine Zugriff auf alle Daten hat, sodass Apple zwar die IP-Adresse kennt, aber nicht die angefragte Domain, und der Partner zwar die Domain kennt, aber nicht die IP-Adresse des Nutzers.
DNS-Anfragen im Kontext von Private Relay
Normalerweise erfolgt eine DNS-Anfrage direkt vom Gerät über den konfigurierten DNS-Resolver des Nutzers oder des Netzbetreibers, um die Domain in eine IP-Adresse aufzulösen. Bei aktivem Private Relay werden diese Anfragen jedoch nicht direkt an den DNS-Server gesendet. Stattdessen werden die DNS-Anfragen verschlüsselt und zusammen mit der HTTP(S)-Anfrage an das erste Relay gesendet. Das erste Relay kennt dabei zwar die IP-Adresse des Nutzers, nicht aber den Zielhost, da dieser verschlüsselt bleibt.
Die eigentliche DNS-Auflösung findet dann anonymisiert über den zweiten Relay-Server statt, der die Domain entschlüsselt und die entsprechende IP-Adresse vom DNS-Server abruft. Dieses Verfahren sorgt dafür, dass weder Apple noch der DNS-Resolver den kompletten Kontext der Verbindung erfährt. Somit bleiben sowohl die Identität des Nutzers als auch seine besuchten Domains getrennt und geschützt.
Auswirkungen auf das Nutzererlebnis und die Netzwerklösung
Für den Nutzer erfolgt die DNS-Auflösung, trotz der komplexen Zwischenschaltung, transparent und ohne merkliche Verzögerungen. Einige Einschränkungen entstehen jedoch in Unternehmensnetzwerken oder bei spezifischen VPN- und Firewall-Konfigurationen, da Private Relay den üblichen DNS-Verkehr verändert und verschlüsselt. Administratoren können also bestimmte DNS-Einschränkungen oder Filtermechanismen nicht mehr ohne Weiteres anwenden, da die DNS-Anfragen nicht direkt einsehbar sind.
Zudem können manche Apps oder Dienste, die auf detaillierte DNS-Informationen angewiesen sind, Probleme bekommen, wenn Private Relay aktiviert ist. Apple empfiehlt deshalb, Private Relay in solchen Szenarien temporär zu deaktivieren, um uneingeschränktes Netzwerkverhalten sicherzustellen.
Fazit
Zusammengefasst verarbeitet das iPhone bei aktiviertem Private Relay DNS-Anfragen nicht selbstständig oder direkt über den konfigurierten DNS-Server, sondern verschlüsselt diese Anfragen und sendet sie über ein mehrstufiges Relay-System. Die DNS-Auflösung erfolgt dabei durch den zweiten Relay-Server, der keinen direkten Bezug zur Nutzer-IP hat. Dieses Design bewahrt die Privatsphäre der Nutzer, erschwert jedoch herkömmliches Tracking und Netzwerkmanagement. Für den alltäglichen Gebrauch bleibt die DNS-Auflösung jedoch nahtlos und transparent für den Nutzer.