DNS over HTTPS (DoH) ab Ende September für erste Firefox-Nutzer
DNS over HTTPS, kurz: DoH, soll die Sicherheit und Privatsphäre der Nutzer verbessern. Nach einer langen Testphase wird Mozilla ab Ende September damit beginnen, DoH für erste Nutzer von Firefox standardmäßig auszurollen.
Was ist DNS over HTTPS?
Wikipedia beschreibt DNS over HTTPS mit den folgenden Worten:
DNS over HTTPS (DoH) ist ein Protokoll zur Durchführung einer DNS-Auflösung über das HTTPS-Protokoll. Das Ziel ist es, die Privatsphäre und Sicherheit der Benutzer zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird. Neben der Verbesserung der Sicherheit sind weitere Ziele von DNS über HTTPS, die Leistung zu verbessern und DNS-basierte Zensurmaßnahmen zu verhindern. DNS over HTTPS wurde am 19. Oktober 2018 als RFC 8484 standardisiert.
Wikipedia
DNS over HTTPS in Firefox
Bereits 2017 begann Mozilla die Arbeiten an DNS over HTTPS, seit Juni 2018 führt Mozilla diverse DoH-Experimente mit Firefox-Nutzern durch. Nun steht Mozilla kurz vor der Ausrollung.
Ab Ende September soll DoH für Firefox-Nutzer in den USA ausgerollt werden. Zunächst aber nur für einen kleinen Teil der Firefox-Nutzer, ehe man DoH flächendeckend ausrollen wird. Wann mit einer Ausrollung in Europa zu rechnen ist, ist zu diesem Zeitpunkt noch nicht bekannt.
Mozilla wird standardmäßig zunächst auf 1.1.1.1 von Cloudflare als DNS-Resolver setzen. Der Nutzer kann in den Firefox-Einstellungen aber auch jeden anderen DNS-Anbieter eintragen oder das Feature komplett deaktivieren. Die entsprechende Oberfläche ist bereits in Firefox integriert.
Sobald DoH in Firefox standardmäßig aktiviert wird, wird der Nutzer darüber informiert und erhält eine Möglichkeit, DoH abzuschalten. Keine Aktivierung von DoH findet statt, wenn der Nutzer eine Opt-in-Kindersicherung nutzt oder eine Unternehmenskonfiguration von Firefox entdeckt wird. Letzteres wird dadurch erkannt, dass die Option security.enterprise_roots.enabled auf true gesetzt ist oder durch Vorhandensein einer Enterprise Policy. Bei DNS-Problemen fällt Firefox automatisch auf die DNS-Konfiguration des Betriebssystems zurück.
Ob das wirklich so sinnvoll ist, das alle Firefox User den DNS Resolver von Cloudflare nutzen? Privatsphäre wird dadurch jedenfalls nicht geschaffen, im Gegenteil würde es dadurch einfacher Daten direkt dort abzugreifen.
Und die wenigsten User werden einen anderen Server dort verwenden…
Mit solchen Unterstellungen wäre ich zurückhaltend, wenn ich das nicht belegen kann. Wenn man eines über Mozilla nicht sagen kann, dann dass sie von Privatsphäre nichts verstehen würden. Wer sich hinstellt und Gegenteiliges behaupten will, ist ganz klar in der Beweispflicht.
Ich habe grundsätzlich zu diesem Thema schon denen einen oder anderen skeptischen Kommentar wahrgenommen, aber nicht ein einziges Mal habe ich Fakten gesehen, welche diese Skepsis stützten. Aber unvoreingenommene und neutrale Quellen außerhalb Mozillas und außerhalb dieses Blogs (unter anderem auf Wikipedia und ZDNet habe ich zu dem Thema gelesen) stellen den positiven Effekt auf die Privatsphäre heraus.
Cloudflare hat übrigens eine verbindliche Vereinbarung mit Mozilla, was den Schutz der Privatsphäre angeht. Cloudflare darf also nicht machen, was sie wollen. Du kannst die Inhalte hier nachlesen:
https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privacy-policy/firefox
@ Sören Hentzschel
Vorab ein Dankeschön für die vielen Informationen die man hier bekommt.
Ist eine tolle Seite für Firefox Nutzer.
Meine Frage: wenn Firefox, nach Zustimmung, DoH aktiviert (Standard 1.1.1.1), was ist dann mit den DNS Einstellungen in (z.B.) der Fritz Box?
Oder wenn man die DNS Anfragen über den Router an ein Pi-hole weiterleitet? Kann es da zu Konflikten in der DNS Auflösung kommen?
Ich habe weder eine FritzBox noch ein Pi-hole, daher kann ich nichts dazu aus eigener Erfahrung sagen, aber ich sehe da kein großes Konfliktpotential. Firefox wird seine eigenen DNS-Einstellungen verwenden und falls das nicht geht, auf die DNS-Einstellungen zurückfallen, die vom System definiert sind, als wäre DoH nicht aktiviert. Und falls doch nichts geht, was aber nicht sein sollte, kann man DoH immer noch wieder von Hand abschalten.
Hi Sören,
letztendlich, ist doch die Frage: Warum sollte die DNS Auflösung pro Applikation durchgeführt werden? Wäre es nicht klüger, dass diese Aufgabe zentral vom Betriebssystem übernommen wird?
Bisher lääst sich die Funktion übrigens deaktivieren. Ich hoffe, dass es so bleibt:
https://support.mozilla.org/en-US/kb/firefox-dns-over-https#w_enabling-and-disabling-dns-over-https
Wird es grundsätzlich ja. Aber das Betriebssystem ist nicht zwingend optimal konfiguriert.
Steht ja auch im Artikel und ist im Artikel sogar als Screenshot zu sehen. Und ja, selbstverständlich bleibt das deaktivierbar. Solche Dinge in Firefox immer.
Grundsätzlich eine gute Idee. Ich kann die Skepsis aber verstehen. Weil der ein oder andere Cloudflare nicht kennt, wie ich z.b..
Bei deinem Link kommt übrigens der 404.
"Mozilla wird standartmäßig erstmal auf Cloudflare setzen" Arbeitet das Team an einem eigenen DNS-resolver?
Ich habe nie behauptet, das Mozilla von Privatsphäre nichts versteht!
Trotzdem finde ich es nicht gut, das der gesamte DNS Traffic über diesen einen Anbieter geht – Vertrag hin oder her. Von daher fänd ich eine Rotation über mehrere Anbieter je DNS Abfrage besser – aber vielleicht kommt das ja noch. Denn wie wir ja wissen, ignorieren bestimmte Behörden und kriminelle Hacker einen Vertrag. Und ob Cloudflare diese Daten nicht doch auswertet, kann auch keiner kontrollieren.
Der Link funktioniert leider nicht, hast du noch einen anderen?
@Se:
Etwas nicht zu kennen, ist das eine. Aber einige kritisieren, ohne auch nur ein einziges Argument zu liefern. Und das ist etwas, was ich wiederum kritisiere. 😉
Ich habe das "/" am Ende versehentlich entfernt, das ist in dem Fall wichtig. Hier der korrigierte Link:
https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privacy-policy/firefox/
Mozilla hat weder die Ressourcen noch die Kompetenz dafür. Dafür gibt es Spezialisten – wie eben Cloudflare.
@Brian:
Du hast unterstellt, dass Mozilla die Privatsphäre damit verschlechtern würde, obwohl das Ziel exakt umgekehrt ist. Daraus folgt zwangsläufig, wenn dem so wäre, dass Mozilla den Privatsphäre-Aspekt nicht verstehen würde. Und wer solche Behauptungen in den Raum wirft, sollte auch Belege liefern können.
Die Auswahl der in Frage kommenden DNS-Anbieter (Performance, Sicherheit und Privatsphäre als wichtige Kritierien) ist sehr begrenzt. Es ist leider auch so, dass es derzeit nur US-Anbieter zu geben scheint, welche das leisten können.
Ich verstehe den Sinn hinter dieser Idee nicht. Angenommen man hat den besten Anbieter gefunden (was ja das Ziel sein muss) – wieso sollte man zwischen schlechteren Optionen rotieren?
Das kann mit jedem DNS-Server passieren. Zum Thema Behörden steht auch ein ganzer Absatz auf der verlinkten Cloudflare-Seite. Ich kopiere:
Cloudflare does not block or filter content through the Cloudflare Resolver for Firefox. As part of its agreement with Mozilla, Cloudflare is providing only direct DNS resolution. If Cloudflare were to receive written requests from law enforcement and government agencies to block access to domains or content through the Cloudflare resolver for Firefox, Cloudflare would, in consultation with Mozilla, exhaust our legal remedies before complying with such a request. We also commit to documenting any government request to block access in our semi-annual transparency report, unless legally prohibited from doing so.
So darf man nicht anfangen. Mozilla ist für einige Dinge auf Partner angewiesen und vertraut man seinen Partnern nicht, kann man vieles nicht machen. Cloudflare ist aber nun auch nicht irgendwer, Cloudflare ist oberste Liga auf deren Gebiet. Würden die sich nicht an ihre Verträge halten, würde das deren Ruf massiv schädigen. Die haben also auch ein Interesse daran, das zu halten, was sie versprechen.
Ich habe das "/" am Ende versehentlich entfernt, das ist in dem Fall wichtig. Hier der korrigierte Link:
https://developers.cloudflare.com/1.1.1.1/commitment-to-privacy/privacy-policy/firefox/
Der Sinn hinter einer Rotation ist, das nicht alles über einen Anbieter geht – aus den genannten Gründen.
Ein "bester Anbieter" ist schon ein sehr subjektiver Eindruck, da andere vielleicht andere Punkte als wichtig für einen "besten Anbieter" sehen.
Hacker könnten natürlich Kabel Deutschland hacken und die DNS-Daten abschnorcheln. Aber dann müssten sie alle ISPs hacken, um an alle DNS-Daten ranzukommen. Wenn 1.1.1.1 oder 8.8.8.8 verwendet wird, dann müssen sie nur diesen einen Anbieter hacken und haben alle DNS-Daten von allen Leuten auf der Welt.
Cloudflare ist mit der Verwendung in Firefox ganz oben auf der Liste der für die NSA interessanten Firmen. Zur Not nicht per Hack sondern per National Security Letter.
Auch wenn Cloudflare "oberste Liga ist", so gab es erst im Juli einen großen Ausfall, der diverse Seiten mit runtergezogen hat. Und genau da hat sich gezeigt, dass dort auch nur mit Wasser gekocht wird, sie kamen nicht mehr auf ihre eigenen Server, etc. Warum das so entscheidend ist? Siehe Absätze oben.
Die Intention von Mozilla ist absolut löblich, keine Frage. Ich denke nur dass hier eine Struktur wie bei Let's Encrypt hochgezogen werden müsste, sodass dies ebend genau nicht an einem Anbieter mit kommerziellen Interessen hängt.
Nicht wirklich. Dass Mozilla auf Performance, Sicherheit und Privatsphäre schaut, habe ich bereits geschrieben. Das sind alles hard facts. Ob beispielsweise Anbieter A oder Anbieter B schneller ist, ist messbar und keine Frage einer persönlichen Meinung. Genauso die Maßnahmen, die ergriffen werden, um Sicherheit und Privatsphäre zu gewährleisten. Das kann man alles objektiv miteinander vergleichen. Und am Ende gibt es dann selbstverständlich Anbieter, die besser abschneiden als andere.
Was genau verstehst du unter "DNS-Daten von allen Leuten", welche gestohlen werden könnten? Wenn ein DNS angegriffen wird, geht es doch eher darum, den Datenstrom umzuleiten, oder um Überlastung durch DDoS. Aber was du meinst, ist mir unklar.
Und das ist wodurch belegt?
Auch der Einwand ergibt nicht wirklich Sinn. Sobald das Interesse der Behörden besteht, können sie ihre Forderung an jeden DNS-Anbieter stellen. Dass Firefox Cloudflare nutzt, ändert daran nicht das Geringste.
Kann vorkommen, ist aber für Firefox kein Problem, siehe Artikel. Bei DNS-Problemen fällt Firefox auf die Systemkonfiguration zurück.
Ich finde das gut.
Bin aber nicht sicher, ob ich das nutzen kann, da ich häufig in VPNs unterwegs bin und den DNS der jeweiligen Unternehmen nutzen "muss".
Dazu eine generelle Frage: Nehmen wir an, dass in der Firma alle internen Hostnamen so aussehen: *.mycompany.intern
Kann man für Domänen abschalten, dass Cloudflare gefragt wird? Oder greift da einfach ein Fallback (zuerst Cloudflare, dann "normales" DNS)?
@Christoph:
Ich kann dazu im Detail nichts sagen. Aber du findest die Einstellung bereits in Firefox und könntest das testweise aktivieren. 🙂
Einstellungen > Allgemein > Ganz nach unten scrollen > unter "Verbindungs-Einstellungen" auf den Button "Einstellungen" klicken > in dem Fenster ganz nach unten scrollen > Checkbox aktivieren und sicherstellen, dass Cloudflare aktiviert ist.
Hmm kann man bei Cloudflare inzwischen den DNS Cache leeren? Ich nutze deswegen immer die Google DNS, da ich beruflich immer mal wieder mit DNS Einträgen rumspielen muss.
Google hat ein nettes Webinterface, wo man für eine Domain z.B. den A Record oder einen TXT Record aus dem Cache löschen und somit instant prüfen kann ob man keinen scheiss gebaut 😉
Grundsätzlich finde ich es gut, weil es die Personen weg bringt von ihrem Internet Anbieter DNS – der oft auch relativ langsam ist und einige Seiten gesperrt hat.
Das weiß ich leider nicht.