Login
Newsletter
Werbung

Do, 4. April 2019, 13:33

Software::Browser

Mozilla testet weitere Aspekte von DNS über HTTPS

Mozilla hat neue Ergebnisse des Tests von DNS über HTTPS veröffentlicht. Diese werfen neue Fragen auf, die mit neuen Tests und erweiterten Szenarien beantwortet werden sollen.

Mozilla

Nach Ansicht von Mozilla ist das herkömmliche DNS nicht mehr zeitgemäß, besonders in Hinblick auf gestiegene Sicherheitsanforderungen, die sich auch im starken Anstieg der Nutzung von HTTPS anstelle von unverschlüsseltem HTTP manifestieren. Dieses Problem muss laut Mozilla behoben werden. Eine Option dafür ist DNS über HTTPS, ein neues Protokoll, das die Sicherheit der DNS-Abfragen verbessern soll, indem es sie über eine verschlüsselte HTTP-Verbindung sendet. Es ist nicht der erste Versuch, DNS sicher zu machen. Schon lange gibt es DNSSEC, das jedoch nur eine Verifizierung der Daten ermöglicht, keine Verschlüsselung einsetzt und auf Clients kaum verwendet wird. Eine Alternative zu DoH ist DNS over TLS (DoT), das bereits vor DoH von der DPRIVE-Arbeitsgruppe spezifiziert wurde und theoretisch einfacher ist. Denn HTTPS setzt auch TLS zur Verschlüsselung ein, ist aber darüber hinaus ein weiteres komplexes Protokoll.

Vorteile von DoH sind, dass es auf die gesamte HTTP-Infrastruktur wie Content-Verteilnetzwerke, hunderte von Programmbibliotheken, Autorisierungsbibliotheken, Proxys und ausgefeilte Lastverteiler zurückgreifen kann. Es kann ferner die ganze HTTP/2-Funktionalität nutzen und in anderen HTTP-Verkehr integriert werden, was die Anzahl der nötigen Verbindungen senkt und die Geschwindigkeit erhöht. DNS over HTTPS (DoH) ist nun als RFC8484 durch die Internet Engineering Task Force (IETF) standardisiert.

Mozilla hatte DoH für einige Monate in der Entwicklerversion von Firefox getestet und meldete im August 2018, dass die Geschwindigkeit von DoH zumeist etwa 6 Millisekunden langsamer als bei DNS war. Allerdings gab es bei DoH weniger Ausreißer: Die langsamsten 20% der Abfragen waren bei DoH deutlich schneller als bei DNS. Bei der Fehlerrate gab es keine nennenswerten Unterschiede. Für Mozilla war die geringfügig erhöhte Wartezeit angesichts der höheren Sicherheit akzeptabel.

In einem weiteren Test wollte Mozilla im Dezember 2018 ermitteln, wie sich DoH auf das Laden von ganzen Webseiten auswirkt. Gemessen wurden Webseiten, die von Akamai gehostet werden. Jetzt liegen die Ergebnisse dazu vor. Demnach hatte DoH nur minimale Verlangsamungen zur Folge, in vielen Fällen aber auch eine deutliche Beschleunigung. Bei den Messungen wurde eine unerwartet hohe Fehlerrate bei den DNS-Abfragen festgestellt, wie Mozilla weiter berichtet. Dies muss näher untersucht werden, wofür die Telemetrie der Tests erweitert wird. Außerdem will Mozilla versuchen, die Geschwindigkeit mit Hilfe der EDNS Client Subnet-Erweiterung zu steigern. Mit EDNS kann ein DoH-Anbieter die Anfrage an den autoritativen Server weiterleiten. Der Nachteil ist, dass dies unverschlüsselt ist und der autoritative Server die Browser-Aktivität des Benutzers aufzeichnen könnte. Inzwischen gibt es aber ein Pilotprojekt, bei dem Facebook mit seinen eigenen autoritativen Servern einen DoT-Dienst für Cloudflare bereitstellt. Dies ist zwar verschlüsselt, bedeutet aber, dass man Facebook vertrauen muss.

Mozilla hat daher zu seinen Tests Messungen der DNS-Auflösungszeit und Webseiten-Übertragungszeit von Facebook-Servern hinzugefügt. Diese Tests laufen nur, wenn der Benutzer sich bereits einmal bei Facebook angemeldet hat, und sollen keine Cookies oder Daten übertragen und nur Dummy-Inhalte herunterladen. In dieser Woche soll der Test mit einem Teil der Benutzer in den USA durchgeführt werden. Diese Benutzer werden darüber informiert und die Tests laufen nur nach Zustimmung des Benutzers. Mozilla arbeitet laut der Mitteilung weiter daran, zusätzliche vertrauenswürdige DoH-Anbieter zu gewinnen. Termine für den breiteren Einsatz von DoH kann Mozilla auch weiterhin noch nicht nennen.

Werbung
Pro-Linux
Unterstützer werden
Neue Nachrichten
Werbung