DNS über HTTPS
Bild: Fabio Lanari | Lizenz: CC BY-SA 4.0

DNS over HTTPS (DoH) ist ein am 19. Oktober 2018 als RFC 8484 standardisiertes Protokoll zur DNS-Auflösung über das HTTPS-Protokoll. Ziel ist es, Sicherheit und Privatsphäre der Anwender zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird. Zudem soll mit DNS über HTTPS, die Leistung verbessert werden.

DNS over HTTPS

Nach rund 18 Monaten intensiver interner Tests und der Bereitstellung in Firefox Nightlies und Firefox Beta vor rund einem Jahr soll DoH nun noch im September für eine Teilmenge der Anwender in den USA freigeschaltet werden. Die Tests mit rund 25.000 Teilnehmern ergaben, dass die Verwendung von DNS over HTTPS nur einen geringen Performance-Einfluss auf die Mehrheit der nicht gecachten DNS-Abfragen im Vergleich zu herkömmlichem DNS hatte.

Fast gleich schnell

Die meisten Abfragen waren etwa 6 Millisekunden langsamer, was laut Mozilla eine akzeptable Einbuße für die Vorteile der Datensicherung darstellt. Die langsamsten DNS-Transaktionen schnitten mit dem neuen DoH-basierten System jedoch viel besser ab als das traditionelle – manchmal Hunderte von Millisekunden besser. Verläuft die Einführung bei einem Prozentsatz der Anwender problemlos, soll DoH zeitnah bei Firefox zum Standard werden.

Kritik an der Art der Ausführung

Allerdings verstummt auch die Kritik an DoH von verschiedenen Seiten nicht. Die Nominierung von Mozilla als Internet-Schurke 2019 lassen wir als speziell britisches Problem dabei einmal außen vor. Ernstzunehmende Kritik entzündet sich an der Art und Weise, wie die DNS-Anfragen über HTTPS an die DNS-Resolver verteilt werden sollen. Die Blog Nethinks beschreibt DNS-Resolver so:

Eine spezielle Rolle von DNS-Servern sind die sogenannten »Resolver« oder auch »Caching Name-Server«. Diese Resolver sind Systeme, deren einzige Aufgabe es ist, DNS-Anfragen von Clients entgegenzunehmen, diese rekursiv im globalen DNS-System aufzulösen und dem Client schließlich wieder bereitzustellen. Die Resolver cachen alle DNS-Abfragen für eine bestimmte Zeit, um bei der wiederholten Abfrage das Ergebnis direkt ausliefern zu können.

Konzentration auf zu wenige Dienstleister

Die Kritik entzündet sich hier an der Tatsache, dass zur Namensauflösung nicht der Resolver verwendet werden soll, der im Betriebssystem des jeweiligen Geräts festgelegt ist, sondern der, den die Browser-Entwickler bevorzugen. Hier steht laut der Kritik zu befürchten, dass dies zu einer Konzentration der DNS-Anfragen bei den von Google und Mozilla bevorzugten Dienstleistern, wie etwa Cloudflare führen kann. Auch Google plant nämlich die baldige Einführung von DoH.

Angriffsvektoren reduziert

Sollte dies eintreten, könnte diese Konzentration dazu führen, dass die beiden Hersteller die DNS-Daten für kommerzielle Belange nutzen könnten. Auch die Angriffsvektoren würde dadurch konzentriert. Große Telekommunikationsunternehmen wünschen sich eine langsame und behutsame Einführung von DoH. Zudem gibt es auch Anhänger des parallel entwickelten DNS over TLS (DoT). Hier wird als Vorteil gesehen, dass ein DoT-Client Tracking erschwert, indem Anfragen zufallsgesteuert breit verteilt.

Laut Mozilla haben bereits rund 70.000 Anwender im Firefox freiwillig aktiviert. Für den Anwender wichtig bei alledem: DoH kann, wenn es denn einmal Standard ist, im Browser deaktiviert werden.

Mozilla plant DNS über HTTPS für September

Verwandte Themen

Beitrag kommentieren