DNS über HTTPS
Bild: Fabio Lanari | Lizenz: CC BY-SA 4.0

DNS over HTTPS (DoH) ist ein am 19. Oktober 2018 als RFC 8484 standardisiertes Protokoll zur DNS-Auflösung über das HTTPS-Protokoll. Ziel ist es, Sicherheit und Privatsphäre der Anwender zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird. Zudem soll mit DNS über HTTPS, die Leistung verbessert werden.

DNS over HTTPS

Nach rund 18 Monaten intensiver interner Tests und der Bereitstellung in Firefox Nightlies und Firefox Beta vor rund einem Jahr soll DoH nun noch im September für eine Teilmenge der Anwender in den USA freigeschaltet werden. Die Tests mit rund 25.000 Teilnehmern ergaben, dass die Verwendung von DNS over HTTPS nur einen geringen Performance-Einfluss auf die Mehrheit der nicht gecachten DNS-Abfragen im Vergleich zu herkömmlichem DNS hatte.

Fast gleich schnell

Die meisten Abfragen waren etwa 6 Millisekunden langsamer, was laut Mozilla eine akzeptable Einbuße für die Vorteile der Datensicherung darstellt. Die langsamsten DNS-Transaktionen schnitten mit dem neuen DoH-basierten System jedoch viel besser ab als das traditionelle – manchmal Hunderte von Millisekunden besser. Verläuft die Einführung bei einem Prozentsatz der Anwender problemlos, soll DoH zeitnah bei Firefox zum Standard werden.

Kritik an der Art der Ausführung

Allerdings verstummt auch die Kritik an DoH von verschiedenen Seiten nicht. Die Nominierung von Mozilla als Internet-Schurke 2019 lassen wir als speziell britisches Problem dabei einmal außen vor. Ernstzunehmende Kritik entzündet sich an der Art und Weise, wie die DNS-Anfragen über HTTPS an die DNS-Resolver verteilt werden sollen. Die Blog Nethinks beschreibt DNS-Resolver so:

Eine spezielle Rolle von DNS-Servern sind die sogenannten »Resolver« oder auch »Caching Name-Server«. Diese Resolver sind Systeme, deren einzige Aufgabe es ist, DNS-Anfragen von Clients entgegenzunehmen, diese rekursiv im globalen DNS-System aufzulösen und dem Client schließlich wieder bereitzustellen. Die Resolver cachen alle DNS-Abfragen für eine bestimmte Zeit, um bei der wiederholten Abfrage das Ergebnis direkt ausliefern zu können.

Konzentration auf zu wenige Dienstleister

Die Kritik entzündet sich hier an der Tatsache, dass zur Namensauflösung nicht der Resolver verwendet werden soll, der im Betriebssystem des jeweiligen Geräts festgelegt ist, sondern der, den die Browser-Entwickler bevorzugen. Hier steht laut der Kritik zu befürchten, dass dies zu einer Konzentration der DNS-Anfragen bei den von Google und Mozilla bevorzugten Dienstleistern, wie etwa Cloudflare führen kann. Auch Google plant nämlich die baldige Einführung von DoH.

Angriffsvektoren reduziert

Sollte dies eintreten, könnte diese Konzentration dazu führen, dass die beiden Hersteller die DNS-Daten für kommerzielle Belange nutzen könnten. Auch die Angriffsvektoren würde dadurch konzentriert. Große Telekommunikationsunternehmen wünschen sich eine langsame und behutsame Einführung von DoH. Zudem gibt es auch Anhänger des parallel entwickelten DNS over TLS (DoT). Hier wird als Vorteil gesehen, dass ein DoT-Client Tracking erschwert, indem Anfragen zufallsgesteuert breit verteilt.

Laut Mozilla haben bereits rund 70.000 Anwender im Firefox freiwillig aktiviert. Für den Anwender wichtig bei alledem: DoH kann, wenn es denn einmal Standard ist, im Browser deaktiviert werden.

Mozilla plant DNS über HTTPS für September

Verwandte Themen

Firefox 70 mit neuem Logo
views 756
Einen Browser alle sechs Wochen mit neuen Funktionen auszuliefern ist kein leichtes Unterfangen. So sind denn auch manche Firefox-Versionen haupt...
Firefox 69 erhöht die Sicherheit
views 621
Firefox 69 ist fertig und steht zum Download auf Mozillas FTP-Servern bereit. Die offizielle Veröffentlichung wird am heutigen 3. September erwar...
Firefox 68 verteilt WebRender für AMD
views 652
Screenshot: ft Am heutigen 9. Juli hat Mozilla Firefox 68 und gleichzeitig Firefox ESR 68 veröffentlicht. Die mit Firefox 67 begonnene Auslieferun...
Firefox 67.0.3 behebt bereits ausgenutzte Zero-Day...
views 419
Bild: Mozilla Mozilla reagiert mit der Veröffentlichung von Firefox 67.0.3 und Firefox ESR 60.7.1 auf eine bereits aktiv ausgenutzte Zero-Day-Sich...
Mozilla plant Firefox-Premiumversion
views 962
Bild: Mozilla Mozilla plant noch für dieses Jahr eine Firefox-Premiumversion. Das geht aus einem Interview der deutschen Medienplattform T3N mit M...

Beitrag kommentieren