FAQ: Fragen und Antworten zum kommenden DNS-over-HTTPS (DoH)
-
Kevin Kozuszek
- 27. Februar 2020
Wenn man sich persönlich für die Entwicklung von Browsern und neuen Webstandards interessiert, dann wird man in den vergangenen Monaten kaum um die Arbeiten an der kommenden DNS-Verschlüsselung herum gekommen sein. Vor allem die intensiven Diskussionen zwischen den jeweiligen Befürwortern von DNS-over-HTTPS und DNS-over-TLS waren immer wieder in den Medien zu finden, wobei sich DNS-over-HTTPS in der Gunst der Entwickler am Ende vorerst durchgesetzt hat. Wir wollen in diesem Beitrag mal ein bisschen Licht ins Dunkel bringen und auch klären, was das für konkrete Auswirkungen für den einzelnen Endnutzer hat, auch wenn er sich sonst kaum oder gar nicht mit solchen Technologien beschäftigt oder davon schlicht keine große Ahnung hat.
Vorab: Die wichtigsten Fragen und Antworten werde ich hier möglichst einfach erklären, damit das auch für die Laien und unerfahreneren Nutzer unter euch möglichst verständlich wird. Sollten aber noch weitere Fragen aufkommen, dann schreibt sie gerne bei uns in die Kommentare. Ich versuche dann, diese dort noch weiter zu beantworten und Unklarheiten auszuräumen.
Was ist DNS-over-HTTPS?
DNS-over-HTTPS, kurz DoH, ist ein neues Netzwerkprotokoll, was im Herbst 2018 von der zuständigen Internet Engineering Task Force (IETF) als neuer Webstandard verabschiedet wurde. Zentrales Ziel des neuen Protokolls ist es, die bisher unverschlüsselten DNS-Abfragen über eine gesicherte Verbindung abzuwickeln und so mehr Sicherheit vor Angriffen wie Man-in-the-Middle zu erreichen. Außerdem soll DoH neben einer verbesserten Leistung auch dabei helfen, DNS-basierte Zensurmaßnahmen einzudämmen.
Neben DoH befindet sich mit DNS-over-TLS, kurz DoT, ein weiteres Protokoll im Standardisierungsverfahren, welches nach derzeitigem Stand noch nicht abgeschlossen ist.
Ist die Verschlüsselung von DNS-Abfragen gründsätzlich neu?
Nein. Mit DNSCrypt gab es auch bisher schon eine Möglichkeit, die aber nur von wenigen Browsern wie dem Yandex Browser nativ angeboten wurden oder mit entsprechenden Programmen in Windows und anderen Betriebssystemen nachinstalliert werden mussten. Standardmäßig werden DNS-Abfragen bis heute über das User Datagram Protocol, kurz UDP, abgewickelt, dessen Entwicklung bereits 1977 began und heute als nicht mehr zeitgemäß gilt. Mit DoH und DoT wurden/werden nun erstmals verbindliche Webstandards verabschiedet, die von den unterschiedlichen Entwicklern in ihre Anwendungen implementiert werden sollen.
Was ist der Unterschied zwischen DoH und DoT?
Bisher werden alle DNS-Abfragen in der Regel noch über das unverschlüsselte UDP-Protokoll abgewickelt, das aufgrund seines Alters und seiner Eigenschaften als nicht mehr zeitgemäß gilt und durchaus als Sicherheitsrisiko betrachtet werden kann. DNS-over-TLS entwickelt den bestehenden Status Quo weiter, indem es die Abfragen über das UDP-Protokoll durch einen gesicherten TLS-Tunnel leitet und so verschlüsselt. Der größte Vorteil von DoT besteht darin, dass dieses Protokoll wesentlich schneller ist und durch die Absicherung mit TLS 1.2 oder TLS 1.3 auf bestehenden Infrastrukturen aufgebaut werden kann.
Wird allerdings DNS-over-HTTPS eingesetzt, wird dabei auch die bestehende Verwertungskette aufgebrochen. Anstatt das UDP-Protokoll weiterhin zu berücksichtigen, baut die jeweilige Anwendung selbst eine HTTPS-Verbindung zum DNS-Server auf und verschlüsselt diese dabei. Dadurch können zwar unter Umständen mehr Bestandteile unter diesen Schutzschirm gezogen werden, gleichzeitig fällt aber auch die Performance gegenüber DoT in manchen Fällen spürbar schlechter aus, was vor allem Nutzer mit langsameren Internetverbindungen spüren werden.
Wie wird DNS-over-HTTPS in Chromium implementiert?
Google testet seit dem Erscheinen von Chrome 78.0 eine erste Implementierung von DoH, wobei der entsprechende Flag nur bei wenigen Nutzern tatsächlich aktiviert wurde. Chrome orientiert sich dabei an den Netzwerkeinstellungen des Nutzers und gleicht diese mit einer Whitelist ab, ob der vorhandene DNS-Anbieter bereits DoH unterstützt. Ist das der Fall und steht der Anbieter auf der Whitelist, wird Chrome automatisch ein Upgrade auf die DoH-Version durchführen. Gleichzeitig werden die eigentlichen DNS-Einstellungen im Betriebssystem nicht verändert und Chrome soll sich auch weiterhin an der Systemebene orientieren. Sollte ein Upgrade nach DoH nicht möglich sein, wird weiterhin die bisherige Ausführung über das UDP-Protokoll verwendet.
Die entsprechende Implementierung ist Teil der Chromium-Basis und steht entsprechend auch anderen Derivaten wie Microsoft Edge, Vivaldi oder Opera zur Verfügung. Dennoch gibt es hier nach einem Bericht von ZDNet.com diverse Unterschiede. Die Umsetzungen in Microsoft Edge, Vivaldi und Brave entsprechen der besagten Standardimplementierung, wobei die Entwickler von Brave nicht ausschließen wollten, dass es noch zu Anpassungen kommt. Einen eigenen Weg gehen die Entwickler bei Opera, die – noch strikter als Mozilla – die DNS-Anfragen über Cloudflare abwickeln und keine Änderungen erlauben. Laut ZDNet.com funktioniert DoH außerdem nicht, wenn der integrierte BrowserVPN genutzt wird.
Welche Pläne verfolgt Mozilla und wieso werden sie dafür stark kritisiert?
Mozilla hat sich bei Firefox für einen Sonderweg entschieden und wird die Umsetzung von DoH vollständig auf der Anwendungsebene implementieren. In den Verbindungseinstellungen kann DoH bereits aktiviert werden, wobei neben Cloudflare als Standardanbieter auch NextDNS sowie ein benutzerdefinierter Anbieter ausgewählt werden können. Anders als Chromium, welches die Nutzereinstellungen berücksichtigt und sich an der Systemebene orientiert, wird Firefox diese Einstellungen vollständig ignorieren, sobald DoH standardmäßig verwendet wird. Das zieht diverse Folgen nach sich.
Die Entwickler weisen darauf hin, dass durch die Implementierung vor allem Sicherheits- und Schutzmechanismen von Firefox ausgehebelt werden können. Neben der Filterung von Malware-Domains oder dem Blocken von Werbung oder Trackern, die auf Systemebene (z.B. über die hosts-Datei) oder im Netzwerk (z.B. über das Pi-hole) umgesetzt werden, gehören dazu auch wichtige Programme wie Kindersicherungen, die von Firefox dann schlicht ignoriert würden. Allerdings soll Firefox von sich aus DNS-over-HTTPS deaktivieren, wenn ein solcher Konflikt erkannt wird, aber es bedeutet auch, dass die Nutzer zwischen verschiedenen Sicherheits- und Schutzmechanismen abwägen müssen, wenn DoH trotzdem eingesetzt werden soll.
Kann ich das Verhalten von Firefox korrigieren?
Ja. Allerdings ist das mit einem gewissen Mehraufwand verbunden, der sicherlich auch nicht für alle Nutzer geeignet ist. Als eine der Möglichkeiten kann man in about:config im Schalter “network.trr.excluded-domains” bestimmte URLs von DoH ausschließen, was aber angesichts größerer Blocklisten keine gute Lösung von Dauer wäre. Ob das Verhalten von Firefox bei DoH in einigen Punkten generell geändert wird, wird auch schon länger in Bugzilla über den Eintrag 1544233 diskutiert. Allerdings geht es in diesem Punkt bisher auch kaum voran und ein früherer Bug wurde bereits als Wontfix ohne weitere Diskussion geschlossen. Heißt: Damals hatte Mozilla Änderungen abgelehnt, ohne weiter darüber zu sprechen.
Theoretisch wäre vielleicht die beste Möglichkeit, über die benutzerdefinierten Anbieter einen eigenen, lokalen DNS-Server (z.B. über Pi-hole oder den Router) einzustellen, aber ob damit letztlich alle Probleme gelöst werden und DoH auch in Firefox trotzdem verwendet werden kann, ist fraglich. Für alle Nutzer stellt Mozilla sowohl einen Leitfaden zum Konfigurieren von Netzwerken zur Deaktivierung von DoH bereit, als auch ein generelles FAQ zu DNS-over-HTTPS sowie einen Beitrag zur Umsetzung in Firefox selbst.
Was plant eigentlich Microsoft bei DNS-over-HTTPS?
Neben der grundlegenden Unterstützung, die Microsoft Edge an sich schon bietet, hat Microsoft bereits im vergangenen November in Person von Tommy Jensen, Ivan Pashov und Gabriel Montenegro in einem Blogpost angekündigt, dass auch Windows 10 künftig DNS-Verschlüsselung unterstützen wird. Die Vorgehensweise entspricht dabei weitgehend der von Chromium, allerdings betont Microsoft ausdrücklich, dass neben DoH auch andere Methoden wie DNS-over-TLS unterstützt werden können, wenn die Nutzer entsprechendes Feedback geben. Außerdem muss der Fallback auf unverschlüsseltes DNS, also die noch aktuelle Regelung, explizit in den Netzwerkeinstellungen vorgenommen werden.
Microsoft kündigte außerdem an, dass sie in künftigen Meilensteinen unter anderem die Netzwerkeinstellungen verbessern und den Umgang mit Methoden wie DoH optimieren wollen. Weitere Informationen und Entwicklungen sollen auch auf Basis der Nutzerreaktionen erfolgen.
Was passiert bei DoH in Unternehmensnetzwerken und mit Gruppenrichtlinien?
Nichts. Für diese Nutzer wird DNS-over-HTTPS nicht automatisch ausgerollt, es sei denn, die Administratoren geben diese Funktion entsprechend frei.
Was passiert bei Anwendung XYZ, die ebenfalls auf Webtechnologien aufbaut?
Gute Frage. Eines der großen Fragezeichen sind vor allem die Anwendungen, die in irgendeiner Form auch einen Webbrowser zur Darstellung verwenden. Dazu gehören unter anderem die aktuellen AMD Radeon Settings, in denen seit der Adrenalin 2020 Edition auch ein Webbrowser steckt, aber auch Game-Clients wie Steam oder uPlay und diverse Qt-basierte Software wie Falkon oder sogar VLC (VLC verwendet einen minimalen Browser, um den Chromecast ansteuern zu können) gehören dazu. Wie genau sich diese dann verhalten werden, werden wir noch sehen müssen.
Kann ich auch DNS-over-TLS verwenden, wenn ich DNS-over-HTTPS nicht haben möchte?
Teilweise. Momentan wird DoH von nahezu allen Entwicklern besonders forciert, weswegen seine Verbreitung entsprechend auch deutlich größer ist. Dennoch gibt es in diversen Bereichen auch schon eine Unterstützung für DoT, wobei Android dies seit der Android 9.0 Pie im Gegensatz zu DoH auch nativ kann. Grundsätzlich sollte man sich als Nutzer aber darauf einrichten, dass der absolute Schwerpunkt derzeit auf der HTTPS-Umsetzung liegt.
Was sollte ich als Nutzer nun also machen?
Auch wenn man sich sonst nicht so sehr mit den technischen Entwicklungen bei Browsern und Webstandards befasst, lohnt es sich, die weitere Entwicklung von DNS-over-HTTPS mit besonderer Aufmerksamkeit zu verfolgen. Das zentrale Problem liegt hier vor allem darin, dass der neue Standard im Zusammenspiel mit bestimmten Anwendungen wie Kindersicherungen durchaus zu Problemen führen kann und damit nicht zwangsläufig harmonieren muss. Es ist zwar nicht unbedingt zu empfehlen, DoH zu deaktivieren, aber im Zweifelsfall macht es dann Sinn, wenn man zwischen der DNS-Verschlüsselung und elementaren Schutzmechanismen wie einer Kindersicherung abwägen muss.
Generell verfolgen die Chromium-Entwickler und Microsoft bei Windows 10 den deutlich besseren Ansatz, wenn man ihn im direkten Vergleich mit Mozilla und der Firefox-Implementierung betrachtet. Aber so oder so gilt: Nutzer müssen sich darauf einrichten, in den kommenden Monaten bei den Konfigurationen die eine oder andere Veränderung vornehmen zu müssen. Wie umfangreich diese ausfallen müssen, kann man momentan aber noch nicht vollständig abschätzen.
Thema:
- News
Über den Autor
Kevin Kozuszek
Seit 1999 bin ich Microsoft eng verbunden und habe in diesem Ökosystem meine digitale Heimat gefunden. Bei Dr. Windows halte ich euch seit November 2016 über alle Neuigkeiten auf dem Laufenden, die Microsoft bei seinen Open Source-Projekten und der Entwicklerplattform zu berichten hat. Regelmäßige News zu Mozilla und meinem digitalen Alltag sind auch dabei.
