Login
Newsletter
Werbung

Do, 30. August 2018, 14:04

Software::Browser

Mozilla: Ergebnisse des Tests von DNS-Abfragen über HTTPS

Fünf Monate nach dem Start ist der Test in der Entwicklerversion von Firefox, in dem zur Verbesserung der Privatsphäre die DNS-Namensauflösung über HTTPS verwendet wurde, beendet. Der Test diente hauptsächlich dazu, die Geschwindigkeit dieser Lösung auszuloten.

Mozilla

DNS over HTTPS (DoH) steht kurz vor der Standardisierung durch die Internet Engineering Task Force (IETF). Patrick McManus von Mozilla und P. Hoffman von ICANN sind die beiden treibenden Kräfte hinter diesem Protokoll. Schon im März hatte Mozilla bekannt gegeben, diesen Standard in der Entwicklerversion von Firefox testen zu wollen. Die verschlüsselte Übertragung soll nicht nur zur Verbesserung der Privatsphäre beitragen, sondern auch DNS-basierte Angriffe erschweren.

Der Test wurde den Benutzern der täglich neu erstellten Testversion von Firefox angeboten, die dem zustimmen mussten. Mozilla wollte im Rahmen dieses Tests unter anderem die Fehlerrate und die Antwortzeiten im Vergleich zu herkömmlichem DNS messen. IP-Adressen sollten dabei nicht gespeichert werden. Ein Aspekt des Test stieß aber auf Kritik: Alle DNS-über-HTTPS-Abfragen wurden an einen Server von Cloudflare gestellt. Damit wurden Informationen über die besuchten Webseiten an Cloudflare preisgegeben - auch im privaten Modus. Mozilla versuchte die Kritik mit dem Verweis auf Datenschutzrichtlinien zu entkräften.

Letztlich wurde der Test im Juli durchgeführt. Über 25.000 Nutzer beteiligten sich und generierten dabei mehr als eine Milliarde Abfragen. Jetzt liegen die Statistiken dazu vor. Die Geschwindigkeit von DoH war zumeist etwa 6 Millisekunden langsamer als bei DNS. Allerdings gab es bei DoH weniger Ausreißer: Die langsamsten 20% der Abfragen waren bei DoH deutlich schneller als bei DNS. Mozilla bezeichnet das als gutes Resultat. Bei der Fehlerrate gab es keine nennenswerten Unterschiede.

Langfristig will Mozilla DoH stärker einsetzen, aktuell ist es nur in der Testversion von Firefox verfügbar, wo es immer noch aktiviert werden kann. Für einen breiteren Einsatz müsste eine größere Zahl von vertrauenswürdigen DoH-Anbietern bereitstehen, die den Datenschutz beachten. Mozilla will ferner Methoden ausarbeiten, wie die Privatsphäre noch besser geschützt werden kann, vor allem indem die DNS-Transaktionen zwischen mehr Anbietern verteilt werden. Dazu wird es voraussichtlich weitere Experimente geben.

DNS über HTTPS ist ein neues Protokoll, das die Sicherheit der DNS-Abfragen verbessern soll, indem es sie über eine verschlüsselte HTTP-Verbindung sendet. Es ist nicht der erste Versuch, DNS sicher zu machen. Schon lange gibt es DNSSEC, das jedoch nur eine Verifizierung der Daten ermöglicht, keine Verschlüsselung einsetzt und auf Clients kaum verwendet wird. Eine Alternative zu DoH ist DNS over TLS (DoT), das bereits vor DoH von der DPRIVE-Arbeitsgruppe spezifiziert wurde und theoretisch einfacher ist. Denn HTTPS setzt auch TLS zur Verschlüsselung ein, ist aber darüber hinaus ein weiteres komplexes Protokoll.

Laut Mozilla hat DoH jedoch Vorteile. So könne es auf die gesamte HTTP-Infrastruktur zurückgreifen. Beispiele seien die Content-Verteilnetzwerke, hunderte von Programmbibliotheken, Autorisierungsbibliotheken, Proxys, ausgefeilte Lastverteiler, Server für sehr hohe Datenmengen und die allgegenwärtigen Javascript-Engines, die bereits HTTP-Funktionen mitbringen und ein vernünftiges Sicherheitsmodell (CORS) enthalten. DoH ermöglicht wie HTTP außerdem das Aushandeln der Content-Typen, so dass DNS-Daten auch in Formaten wie JSON oder XML übertragen werden könnten.

DoH kann ferner die ganze HTTP/2-Funktionalität nutzen, darunter Multiplexing, Priorisierung, Flusskontrolle und einiges mehr. Wenn HTTP/2 zu QUIC weiterentwickelt wird, soll DoH auch dessen Vorteile ohne neue Standardisierung nutzen können. Unter anderem soll dann die Geschwindigkeit deutlich steigen, besonders wenn mit Paketverlusten gerechnet werden muss. Ein weiterer Vorteil von DoH ist, dass es in anderen HTTP-Traffic integriert werden kann, was die Anzahl der nötigen Verbindungen senkt und die Geschwindigkeit erhöht.

Werbung
Kommentare (Insgesamt: 9 || Alle anzeigen || Kommentieren )
WTF (Verfluchtnochmal_5987109, Mi, 5. September 2018)
Re: Horrorszenario (schmidicom, Mo, 3. September 2018)
Re[2]: Horrorszenario (hAtEtEpEEs, So, 2. September 2018)
Rückgrat (404namenotfound, Fr, 31. August 2018)
Re: Horrorszenario (hjb, Fr, 31. August 2018)
Pro-Linux
Traut euch!
Neue Nachrichten
Werbung