Google und Mozilla experimentieren mit DNS-over-HTTPS

Das seit mehr als 30 Jahren genutzte DNS (Domain Name System) wandelt Anfragen zu Webadressen und Online-Diensten zu komplexen IP-Adressen um. Die Technologie stellt sinnbildlich ein Adressbuch für das Internet dar. Allerdings erfolgen die DNS-Anfragen von Anwendern, Diensten und IoT standardmäßig unverschlüsselt, was eine Gefahr für den Datenschutz darstellt.

Abhilfe versprechen verschiedene Protokoll-Technologien wie DNS-over-HTTPS (DoH), DNS over TLS (DoT) oder DNSCrypt. Sie verschlüsseln den DNS-Verkehr und verhindern damit das Ausspionieren von Nutzern im selben Netzwerk sowie Angriffsvektoren wie unter anderem DNS Spoofing (Cache Poisoning).

Google und Mozilla wollen nun mit ersten Tests beginnen, um DoH in ihre Browser zu integrieren. In Firefox lässt sich das Protokoll bereits seit Version 62 manuell über den sogenannten Trusted Recursive Resolver anschalten. Zur Nutzung von DoH muss ein DNS-Anbieter definiert werden, der das Protokoll unterstützt. Mozilla arbeitet hierzu etwa mit Cloudflare zusammen, das im April 2018 mit seinem öffentlichen DNS-Dienst 1.1.1.1 an den Start gegangen ist.

In den USA soll nun die DoH-Funktionalität standardmäßig ab September für Firefox-Nutzer ausgerollt werden. Mozilla will das Feature laut Blogeintrag schrittweise verteilen, um besser auf mögliche Fehler reagieren zu können. Eine Fallback-Funktion soll dabei verhindern, das DoH bereits eingestellte DNS-Konfigurationen überschreibt. Sobald die Tests erfolgreich beendet wurden, könne dann DoH für alle Firefox-Installationen ausgeliefert werden.

Unterdessen kündigt Google auf dem Chromium Blog an, ebenfalls mit ersten Testläufen für DoH in Chrome 78 beginnen zu wollen. Googles Ansatz sieht vor, den bestehenden DNS-Anbieter in Chrome über DoH anzusprechen, insofern der Dienst das Protokoll unterstützt. Ist das nicht der Fall, bleibt die vorherige Konfiguration erhalten. Dadurch soll sichergestellt werden, dass vorgenommene Einstellungen für Inhaltsblocker und dergleichen nicht verloren gehen. Zum Start will Google die DoH-Funktion an einen geringen Teil der Chrome-Nutzer verteilen (ausgenommen sind Linux und iOS).

Ganz unumstritten ist die Verwendung von DoH indessen nicht. Als Mozilla den DoH-Support in Firefox ausrollte, wurde dieser Schritt vom Schweizer Hoster Ungleich scharf kritisiert, da für die Umsetzung von DoH standardmäßig Anfragen über die DNS-Server des US-Anbieters Cloudflare gesendet werden. Dieser sei dadurch potenziell in der Lage, Daten zu den Surfgewohnheiten der Firefox-Nutzer abzugreifen. Allerdings kann auf diese Daten auch jeder herkömmliche DNS-Anbieter zugreifen, der vom Internet-Dienstanbieter bereitgestellt wird.