Google und Mozilla experimentieren mit DNS-over-HTTPS

Das seit mehr als 30 Jahren genutzte DNS (Domain Name System) wandelt Anfragen zu Webadressen und Onlinediensten in komplexe IP-Adressen um. Die Technologie stellt sinnbildlich ein Adressbuch für das Internet dar. Allerdings erfolgen die DNS-Anfragen von Anwendern, Diensten und IoT standardmässig unverschlüsselt, was eine Gefahr für den Datenschutz darstellt.

Abhilfe versprechen verschiedene Protokolltechnologien wie DNS-over-HTTPS (DoH), DNS over TLS (DoT) oder DNSCrypt. Sie verschlüsseln den DNS-Verkehr und verhindern damit das Ausspionieren von Nutzern im selben Netzwerk sowie Angriffsvektoren unter anderem wie DNS Spoofing (Cache Poisoning).

Google und Mozilla wollen nun mit ersten Tests beginnen, um DoH in ihre Browser zu integrieren. In Firefox lässt sich das Protokoll bereits seit Version 62 manuell über den sogenannten Trusted Recursive Resolver anschalten. Zur Nutzung von DoH muss ein DNS-Anbieter definiert werden, der das Protokoll unterstützt. Mozilla arbeitet hierzu etwa mit Cloudflare zusammen, das im April 2018 mit seinem öffentlichen DNS-Dienst 1.1.1.1 an den Start gegangen ist.
In den USA soll nun die DoH-Funktionalität standardmässig ab September für Firefox-Nutzer ausgerollt werden. Mozilla will das Feature laut Blog-Eintrag schrittweise verteilen, um besser auf mögliche Fehler reagieren zu können. Eine Fallback-Funktion soll dabei verhindern, dass DoH bereits eingestellte DNS-Konfigurationen überschreibt. Sobald die Tests erfolgreich beendet wurden, könne dann DoH für alle Firefox-Installationen ausgeliefert werden.

Unterdessen kündigt Google auf dem Chromium Blog an, ebenfalls mit ersten Testläufen für DoH in Chrome 78 beginnen zu wollen. Googles Ansatz sieht vor, den bestehenden DNS-Anbieter in Chrome über DoH anzusprechen, insofern der Dienst das Protokoll unterstützt. Ist das nicht der Fall, bleibt die vorherige Konfiguration erhalten. Dadurch soll sichergestellt werden, dass vorgenommene Einstellungen für Inhaltsblocker und dergleichen nicht verloren gehen. Zum Start will Google die DoH-Funktion an einen geringen Teil der Chrome-Nutzer verteilen (ausgenommen sind Linux und iOS).

Ganz unumstritten ist die Verwendung von DoH indessen nicht. Als Mozilla den DoH-Support in Firefox ausrollte, wurde dieser Schritt vom Schweizer Hoster Ungleich scharf kritisiert, da für die Umsetzung von DoH standardmässig Anfragen über die DNS-Server des US-Anbieters Cloudflare gesendet werden. Dieser sei dadurch potenziell in der Lage, Daten zu den Surfgewohnheiten der Firefox-Nutzer abzugreifen. Allerdings kann auf diese Daten auch jeder herkömmliche DNS-Anbieter zugreifen, der vom Internetdienstanbieter bereitgestellt wird.