Login
Newsletter
Werbung

Do, 1. August 2019, 08:19

Software::Browser

Mozilla testet weitere Aspekte von DNS über HTTPS

Mozilla hat neue Tests von DNS über HTTPS angekündigt. Diese sollen das Zusammenspiel von DoH mit vorhandenen Jugendschutzfiltern und bestimmten Unternehmens-Szenarien untersuchen.

Mozilla

Nach Ansicht von Mozilla ist das herkömmliche DNS nicht mehr zeitgemäß, besonders in Hinblick auf gestiegene Sicherheitsanforderungen, die sich auch im starken Anstieg der Nutzung von HTTPS anstelle von unverschlüsseltem HTTP manifestieren. Dieses Problem muss laut Mozilla behoben werden. Eine Option dafür ist DNS über HTTPS, ein neues Protokoll, das die Sicherheit der DNS-Abfragen verbessern soll, indem es sie über eine verschlüsselte HTTP-Verbindung sendet. Es ist nicht der erste Versuch, DNS sicher zu machen. Schon lange gibt es DNSSEC, das jedoch nur eine Verifizierung der Daten ermöglicht, keine Verschlüsselung einsetzt und auf Clients kaum verwendet wird. Eine Alternative zu DoH ist DNS over TLS (DoT), das bereits vor DoH von der DPRIVE-Arbeitsgruppe spezifiziert wurde und theoretisch einfacher ist. Denn HTTPS setzt auch TLS zur Verschlüsselung ein, ist aber darüber hinaus ein weiteres komplexes Protokoll.

Bei traditionellem DNS sind mehrere Server involviert, die aus Benutzersicht nicht vertrauenswürdig sind, da jeder potentiell die Anfragen aufzeichnet. DoH kann die Privatsphäre verbessern, weil die Benutzer nur noch einen Server kontaktieren müssen. Diesem müssen sie allerdings ebenso vertrauen, was bei Mozillas Experimenten auf einer Datenschutzerklärung beruht.

Vorteile von DoH gegenüber Alternativen sind, dass es auf die gesamte HTTP-Infrastruktur wie Content-Verteilnetzwerke, hunderte von Programmbibliotheken, Autorisierungsbibliotheken, Proxys und ausgefeilte Lastverteiler zurückgreifen kann. Es kann ferner die ganze HTTP/2-Funktionalität nutzen und in anderen HTTP-Verkehr integriert werden, was die Anzahl der nötigen Verbindungen senkt und die Geschwindigkeit erhöht. DNS over HTTPS (DoH) ist nun als RFC8484 durch die Internet Engineering Task Force (IETF) standardisiert.

Mozilla hatte DoH für einige Monate in der Entwicklerversion von Firefox getestet und meldete im August 2018, dass die Geschwindigkeit von DoH zumeist etwa 6 Millisekunden langsamer, die maximale Zeit aber deutlich geringer als bei DNS war. In einem weiteren Test ermittelte Mozilla im Dezember 2018 ähnliche Resultate beim Laden von ganzen Webseiten, die von Akamai gehostet werden. Danach führte Mozilla die Tests mit erweiterten Metriken fort.

Laut einer aktuellen Mitteilung ist Mozilla mit der Geschwindigkeit von DoH zufrieden, benötigt aber weitere Informationen darüber, wie DoH mit vorhandenen DNS-Konfigurationen zusammenwirkt. Das betrifft zum einen Jugendschutzfilter, zum anderen Unternehmens-DNS, das für dieselben Namen unterschiedliche IP-Adressen liefert, abhängig davon, ob die Anfrage von intern oder von extern kommt. Dazu verteilt Mozilla in den nächsten Tagen einen neuen Test an Benutzer in den USA. Der Test lädt keine Daten herunter und gibt keine Daten preis, da er lokal im Browser läuft. Er ermittelt nur, ob eine der genannten Situationen vorliegt, und vergleicht das Resultat der DNS-Abfragen mit den erwarteten Werten.

Der neue Test soll mit einem Teil der Benutzer in den USA durchgeführt werden. Diese Benutzer werden darüber informiert und die Tests laufen nur nach Zustimmung des Benutzers. Mozilla will nun bald DoH in Firefox in den USA standardmäßig einschalten, einen konkreten Zeitpunkt nennt Mozilla allerdings noch nicht.

Werbung
Pro-Linux
Gewinnspiel
Neue Nachrichten
Werbung