Bild: DNS | Quelle: Jürgen Telkmann, Flickr | Lizenz: CC BYNC 2.0

DNS-over-HTTPS (DoH) ist mittlerweile bei allen großen Browsern integriert, aber noch nicht aktiviert. Wir wollen klären, was DoH ist, was es bringt und wo die Gefahren liegen.

Grundsätzlichnützlich

DNS-over-HTTPS ist, wie der Name bereits vermuten lässt, ein Protokoll, das durch Verschlüsselung des DNS-Verkehrs verhindern soll, dass Dritte, beispielsweise der Internet-Provider, unsere DNS-Anfragen und -Antworten mitlesen kann. Dazu werden diese Daten im normalen HTTPS-Verkehr versteckt. DoH ist seit mehreren Jahren in der Entwicklung und wurde vor einem Jahr als Internet-Standard RFC8484 bei der IETF vorgeschlagen. Eine Alternative ist DNS-over-TLS.

Die überwiegende Mehrheit der Internet-Anwender wissen vermutlich nicht, wie der Domain Name Service (DNS) funktioniert und was es tut. Für diese Anwender ist DoH vermutlich ein Zugewinn an Sicherheit. Technisch interessierte Privatanwender sowie Netzwerker und Sysadmins sehen DoH allerdings mit sehr gemischten Gefühlen.

Verhinderungstaktik

Weitere Gegner von DoH sind große Provider wie etwa Comcast in den USA, da damit beispielsweise gezielte Werbung erschwert wird. Provider in den USA erstellten eine Präsentation mit falschen und missverständlichen Aussagen über DoH, um Gesetzgeber im Kongress gegen DoH einzunehmen. Hier sind also offensichtlich sicher geglaubte Pfründe in Gefahr.

Fragliche Sicherheit

Zur Technik: DoH-Abfragen werden an spezielle DoH-fähige DNS-Server, sogenannte DoH-Resolver gesendet, die dem Benutzer ebenfalls verschlüsselt antworten. Viele Fachleute zweifeln an der Wirksamkeit dieser Maßnahme, da einem Provider andere Einstiegspunkt wie etwa ein Blick auf den TLS-Handshake oder SNI zur Verfügung stehen, die meist bereits ausreichen, um zu bestimmen, welche Webseiten ein Kunde besucht.

Sysadmins sauer

Ein weiterer Kritikpunkt ist der Einfluss von DoH auf den Unternehmenssektor, wo Systemadministratoren lokale DNS-Server und DNS-basierte Software verwenden, um den lokalen Datenverkehr zu filtern und zu überwachen, um zu verhindern, dass Angestellte auf nicht zugelassene oder gefährliche Webseiten zugreifen.

Sobald DoH weiter verbreitet ist, wird es die bevorzugte Methode aller Mitarbeiter sein, um Unternehmensfilter zu umgehen und auf Inhalte zuzugreifen, die normalerweise an ihren Arbeitsplätzen blockiert sind.

Da heutige DNS-Server keine DoH-Abfragen unterstützen, enthalten die Apps, die derzeit DoH unterstützen, Listen mit fest vorgegebenen DoH-Servern, die DoH effektiv von den regulären DNS-Einstellungen des Betriebssystems trennen.

Firefox

Mozilla ist zusammen mit Cloudflare eine der treibenden Kräfte hinter DoH und erntet auch einen Großteil der Kritik. Die Unterstützung für DoH ist bereits in der aktuell stabilen Version von Firefox verfügbar und kann über den Abschnitt Einstellungen des Browsers im Abschnitt Netzwerk aktiviert werden. Der Grund für die Kritik an Mozilla liegt hauptsächlich daran, dass Firefox alle DoH-Abfragen standardmäßig über einen DoH-Resolver von Cloudflare abwickelt und damit persönliche Einstellungen zur Handhabung von DNS übergeht. Wenn man das weiß, kann man die Einstellung auf einen anderen DoH-Resolver setzen.

Chrome

Google Chrome ist nach Firefox der zweite Browser, der DoH integriert, aber noch nicht aktiviert hat. Unter Linux lässt es sich noch nicht aktivieren, wie die Eingabe von chrome://flags/#dns-over-https belegt. Nachdem DoH in Chrome in einem anderen Betriebssystem aktiviert ist, sendet der Browser DNS-Abfragen an die gleichen DNS-Server wie zuvor. Wenn der Ziel-DNS-Server über eine DoH-fähige Schnittstelle verfügt, verschlüsselt Chrome den DNS-Verkehr und sendet ihn an die DoH-Schnittstelle des gleichen DNS-Servers. Ist das nicht der Fall, wird die Anfrage unverschlüsselt gesendet.

Browser mit Chromium-Unterbau

Alle anderen maßgeblichen Browser inklusive des neuen Browsers Edge von Microsoft nutzen Chromium und dessen Blink-Engine als Unterbau. Auch bei Opera, Vivaldi und Brave ist DoH dadurch bereits vorhanden und kann jeweils in den Einstellungen aktiviert werden. Über Apples Safari lässt sich noch keine Aussage treffen, Apple schweigt bisher zum Thema.

DNS-over-TLS

DNS-over-TLS (DoT) ist ebenfalls ein Protokoll zur verschlüsselten Übertragung der DNS-Namensauflösung. Für die Verschlüsselung sorgt hier der Standard Transport Layer Security (TLS). Viele Sicherheitsexperten hatten sich gewünscht, DoT würde die Oberhand gewinnen, da sie hier eher einen Schutz der Privatsphäre sehen.

Beitrag kommentieren