Mit der Verschlüsselung von DNS-Abfragen bietet Firefox eine interessante Option zum Schutz der Privatsphäre. Für eine zuverlässige Nutzung von DNS over HTTPS muss man jedoch einige zusätzliche Einstellungen vornehmen.
Das Domain Name System (DNS) ist einer der wichtigsten Dienste im Internet. Es fungiert quasi als Telefonbuch, indem es Nutzeranfragen wie www.zdnet.de in eine IP-Adresse übersetzt. Nur damit kommt die Verbindung zum gewünschten Server zustande. Ohne DNS müssten Nutzer zum Verbindungsaufbau im Browser die IP-Adresse des jeweiligen Servers eingeben.
Allerdings verraten unverschlüsselte DNS-Abfragen sehr viel über die Nutzer. Es ist sehr einfach, ein Bild von einer Person zu gewinnen, wenn man weiß, welche Server im Internet sie oder er besucht. Eine unverschlüsselte Abfrage zu einem DNS-Server sorgt dafür, dass der DNS-Server als ständiger Begleiter sehr gut über unsere Online-Aktivitäten informiert ist. Zumal dann, wenn, wie in den meisten Fällen, diese Abfragen auch noch protokolliert werden. Über diese „Kraft der Metadaten“ stolperte selbst Ex-CIA-Direktor Patraeus, dessen außereheliche Affäre durch die Analyse von Metadaten öffentlich wurde. Das kostete Patreus seinen Job.
Außerdem stellen unverschlüsselte DNS-Abfragen einen Angriffsvektor für sogenannten Man-in-the-Middle-Attacken dar. Bei einem solchen Angriff täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, dem das angegriffene Ziel vertraut. Es gibt also gute Gründe, DNS-Abfragen zu verschlüsseln.
Firefox: DNS über HTTPS (DoH)
Seit einiger Zeit bietet Firefox Unterstützung für DNS-Abfragen über das HTTPS-Protokoll. Durch DNS-over-HTTPS (DoH) werden DNS-Anfragen verschlüsselt. Das schützt vor DNS-Hijacking und Spoofing, garantiert die Vertraulichkeit von DNS-Servern und unterbindet im Wesentlichen die Möglichkeit, Informationen an Dritte weiterzugeben. Alle diese Vorteile sind möglich, da die Auflösung von Domainnamen nicht die öffentliche DNS-Infrastruktur zur Auflösung einer Domain nutzt, sonder stattdessen eine direkte Verbindung zwischen einem Endbenutzer und der Schnittstelle eines Webservers bereitstellt.
Dadurch haben Clients eine größere Kontrolle über ihre DNS-Abfragen. DoH garantiert, dass einem Client genaue IP-Adressinformationen zur Verfügung gestellt werden, wodurch Dritte keine Möglichkeit haben, zu sehen, auf welche Websites ein Benutzer zugreifen möchte.
Für die Bereitstellung eines mit DoH-DNS-Servers arbeitet Mozilla mit dem amerikanischen Unternehmen Cloudflare zusammen. Daran entzündet sich jedoch Kritik. Datenschutz-Experten sehen in der Zusammenarbeit das Potenzial, die Privatsphäre der Nutzer zu untergraben. Im Wesentlichen wird Firefox Domainnamen über die DNS-Server von Cloudflare auflösen. Dies wird es Cloudflare nicht nur ermöglichen, die DNS-Anfragen aller zu lesen, ein Sicherheitsproblem an sich, sondern auch dazu beitragen, das Internet noch zentraler zu machen, als es bereits ist.
Freie DNS-Server mit DoH-Support
Allerdings kann man mit Firefox auch freie DoH-DNS-Server nutzen. Eine Liste findet sich etwa auf der Webseite des IT-Sicherheitsspezialisten Mike Kuketz oder beim von Datenschutz-Aktivisten betriebenen Portal Privacy-Handbuch.
Will man unter Firefox nicht den voreingestellten DNS-Server nutzen, kann man sich also aus den öffentlich zur Verfügung stehenden DNS-Servern mit DoH-Support bedienen. Für den Test verwendet ZDNet.de den von dem Niederländer Rick Lahaye betriebenen DNS-Server SecureDNS.eu, der nicht nur DNS-over-HTTPS, sondern auch DNS-over-TLS und DNSCrypt unterstützt. Wer beispielsweise ein Android-9-Smartphone nutzt, kann für die Verschlüsselung von DNS-Abfragen DNS-over-TLS verwenden.
Unter Firefox – Einstellungen – Verbindunsgeinstellungen trägt man als DoH-Server https://doh.securedns.eu/dns-query oder https://ads-doh.securedns.eu/dns-query ein. Letzterer unterbindet die Verbindung zu bekannten Werbenetzwerken, sodass er auch als Adblocker funktioniert. Das reicht jedoch noch nicht.
Wie man unter about:networking sehen kann, kommt es nicht immer zu einem Verbindungsaufbau über die von Mozilla genutzte Technik Trusted Recursive Resolver (TRR) zum verschlüsselten DNS-Server. Offenbar traut der Firefox-Hersteller noch nicht zu 100 Prozent dem DoH-Technik und ermöglicht verschiedene Abstufungen:
Standardmäßig steht der TRR/DoH-Modus auf 2. Damit nutzt Firefox als Backup auch den im System vorhandenen DNS-Dienst, der in den IP-Einstellungen festgelegt ist. Im obigen about:networking-Screenshot kann man erkennen, dass manchmal der DNS-Server mit DoH-Support genutzt wird und manchmal nicht. Erst die TRR-Einstellung 3, die man über about:config und network.trr.mode eingeben kann, sorgt dafür, dass der angegebene DoH-DNS-Server immer genutzt wird. Damit das funktioniert, muss man unter network.trr-bootstrapAddress noch die IP-Adresse des DNS-Servers mit DoH-Support (146.185.167.43) eingetragen werden.
Firefox DNS over HTTPS (DoH): Fazit
Mit dem Support von DNS over HTTPS (DoH) schützt Firefox die Privatsphäre seiner Nutzer beim Surfen im Internet auch dann, wenn das Betriebssystem keinen standardmäßigen Support für eine verschlüsselte DNS-Abfrage bietet. Weder Windows, macOS oder Linux erlauben derzeit standardmäßig die Verschlüsselung von DNS-Abfragen. Nur Android 9 beherrscht dies mit Support für DNS over TLS (DoT). Egal welche der Techniken zur Verschlüsselung von DNS-Abfragen sich durchsetzen: alle sind besser als gar keine Verschlüsselung. Wünschenswert wäre allerdings eine systemweite Unterstützung für eine verschlüsselte DNS-Abfrage: Dann könnten auch alle anderen genutzten Anwendungen wie Outlook einen unverschlüsselten DNS-Dienst nutzen.