Vor rund zwei Jahren begann Mozilla mit der Arbeit an der Absicherung des DNS-Systems mittels DNS over HTTPS (DoH). Ab heute wird DoH in den USA an alle Kunden standardmäßig aktiviert. Die volle Abdeckung wird einige Wochen dauern, da man mit dem langsamen Ausrollen der Funktion eventuelle Probleme früh abfangen möchte.
Sichere DNS-Abfragen
Mozilla ist nicht alleine auf den DoH-Zug aufgesprungen, auch Google testet seit Chrome 78 die sichere Abwicklung von DNS-Abfragen. Wie zu erwarten war, geht die Einführung einer solchen Technologie, auch wenn sie insgesamt als positiv zu sehen ist, nicht ohne Kritik ab.
So musste sich Mozilla anhören, dass es nicht hinnehmbar ist, wenn alle DoH-Abfragen nur über Cloudflare als Resolver abgewickelt werden. Mittlerweile gibt es mit NextDNS zumindest einen zweiten Resolver. Beide Unternehmen haben sich den Richtlinien für Resolver von Mozilla unterworfen.
Zwei Anbieter
Wer hierzulande Doh verwenden möchte, muss die Funktion derzeit noch manuell aktivieren. In den Einstellungen kann dies unter Allgemein > Verbindungseinstellungen > Einstellungen geschehen. Dort setzt man einen Haken bei DNS über HTTPS aktivieren und hat darunter dann die Auswahl zwischen den Anbietern Cloudflare, NextDNS oder der Einstellung Benutzerdefiniert. Letzteres bedeutet, dass sich der Anwender selbst um seine DNS-Auflösung kümmert.
Wann DoH auch außerhalb der USA standardmäßig bei Firefox und Chrome aktiviert sein wird, ist nicht bekannt. Wer es nicht mag, kann auch dann jederzeit selbst die DNS-Auflösung mit und ohne DoH verwalten.
DNS-over-HTTPS (DoH) ist mittlerweile bei allen großen Browsern integriert, aber noch nicht aktiviert. Wir wollen klären, was DoH ist, was es bringt und wo die Gefahren liegen.
Grundsätzlichnützlich
DNS-over-HTTPS ist, wie der Name bereits vermuten lässt, ein Protokoll, das durch Verschlüsselung des DNS-Verkehrs verhindern soll, dass Dritte, beispielsweise der Internet-Provider, unsere DNS-Anfragen und -Antworten mitlesen kann. Dazu werden diese Daten im normalen HTTPS-Verkehr versteckt. DoH ist seit mehreren Jahren in der Entwicklung und wurde vor einem Jahr als Internet-Standard RFC8484 bei der IETF vorgeschlagen. Eine Alternative ist DNS-over-TLS.
Die überwiegende Mehrheit der Internet-Anwender wissen vermutlich nicht, wie der Domain Name Service (DNS) funktioniert und was es tut. Für diese Anwender ist DoH vermutlich ein Zugewinn an Sicherheit. Technisch interessierte Privatanwender sowie Netzwerker und Sysadmins sehen DoH allerdings mit sehr gemischten Gefühlen.
Verhinderungstaktik
Weitere Gegner von DoH sind große Provider wie etwa Comcast in den USA, da damit beispielsweise gezielte Werbung erschwert wird. Provider in den USA erstellten eine Präsentation mit falschen und missverständlichen Aussagen über DoH, um Gesetzgeber im Kongress gegen DoH einzunehmen. Hier sind also offensichtlich sicher geglaubte Pfründe in Gefahr.
Fragliche Sicherheit
Zur Technik: DoH-Abfragen werden an spezielle DoH-fähige DNS-Server, sogenannte DoH-Resolver gesendet, die dem Benutzer ebenfalls verschlüsselt antworten. Viele Fachleute zweifeln an der Wirksamkeit dieser Maßnahme, da einem Provider andere Einstiegspunkt wie etwa ein Blick auf den TLS-Handshake oder SNI zur Verfügung stehen, die meist bereits ausreichen, um zu bestimmen, welche Webseiten ein Kunde besucht.
Sysadmins sauer
Ein weiterer Kritikpunkt ist der Einfluss von DoH auf den Unternehmenssektor, wo Systemadministratoren lokale DNS-Server und DNS-basierte Software verwenden, um den lokalen Datenverkehr zu filtern und zu überwachen, um zu verhindern, dass Angestellte auf nicht zugelassene oder gefährliche Webseiten zugreifen.
Sobald DoH weiter verbreitet ist, wird es die bevorzugte Methode aller Mitarbeiter sein, um Unternehmensfilter zu umgehen und auf Inhalte zuzugreifen, die normalerweise an ihren Arbeitsplätzen blockiert sind.
Da heutige DNS-Server keine DoH-Abfragen unterstützen, enthalten die Apps, die derzeit DoH unterstützen, Listen mit fest vorgegebenen DoH-Servern, die DoH effektiv von den regulären DNS-Einstellungen des Betriebssystems trennen.
Firefox
Mozilla ist zusammen mit Cloudflare eine der treibenden Kräfte hinter DoH und erntet auch einen Großteil der Kritik. Die Unterstützung für DoH ist bereits in der aktuell stabilen Version von Firefox verfügbar und kann über den Abschnitt Einstellungen des Browsers im Abschnitt Netzwerk aktiviert werden. Der Grund für die Kritik an Mozilla liegt hauptsächlich daran, dass Firefox alle DoH-Abfragen standardmäßig über einen DoH-Resolver von Cloudflare abwickelt und damit persönliche Einstellungen zur Handhabung von DNS übergeht. Wenn man das weiß, kann man die Einstellung auf einen anderen DoH-Resolver setzen.
Chrome
Google Chrome ist nach Firefox der zweite Browser, der DoH integriert, aber noch nicht aktiviert hat. Unter Linux lässt es sich noch nicht aktivieren, wie die Eingabe von chrome://flags/#dns-over-https belegt. Nachdem DoH in Chrome in einem anderen Betriebssystem aktiviert ist, sendet der Browser DNS-Abfragen an die gleichen DNS-Server wie zuvor. Wenn der Ziel-DNS-Server über eine DoH-fähige Schnittstelle verfügt, verschlüsselt Chrome den DNS-Verkehr und sendet ihn an die DoH-Schnittstelle des gleichen DNS-Servers. Ist das nicht der Fall, wird die Anfrage unverschlüsselt gesendet.
Browser mit Chromium-Unterbau
Alle anderen maßgeblichen Browser inklusive des neuen Browsers Edge von Microsoft nutzen Chromium und dessen Blink-Engine als Unterbau. Auch bei Opera, Vivaldi und Brave ist DoH dadurch bereits vorhanden und kann jeweils in den Einstellungen aktiviert werden. Über Apples Safari lässt sich noch keine Aussage treffen, Apple schweigt bisher zum Thema.
DNS-over-TLS
DNS-over-TLS (DoT) ist ebenfalls ein Protokoll zur verschlüsselten Übertragung der DNS-Namensauflösung. Für die Verschlüsselung sorgt hier der Standard Transport Layer Security (TLS). Viele Sicherheitsexperten hatten sich gewünscht, DoT würde die Oberhand gewinnen, da sie hier eher einen Schutz der Privatsphäre sehen.
