DNS-over-HTTPS hat einen schlechten Ruf

DNS-over-HTTPS, das im Begriff ist, für Mozilla Firefox und Google Chrome ausgerollt zu werden, findet immer mehr Kritiker, die das Protokoll für nicht zielführend halten und Alternativen wie DNS-over-TLS bevorzugen.

Yuri Samoilov HTTPS

Seit mehreren Jahren in der Entwicklung und vor einem Jahr als Internet-Standard RFC8484 bei der IETF vorgeschlagen, hat DNS-over-HTTPS (DoH) einen schlechten Ruf bei Netzwerk- und Privatsphäre-Spezialisten. Der Tenor ist, das Protokoll verursache mehr Probleme als dass es Nutzen bringe. Dieser sei, so die Experten, von vorneherein ziemlich eingeschränkt im Vergleich mit Alternativen wie DNS-over-TLS. Patrick McManus von Mozilla und P. Hoffman von ICANN, die treibenden Kräfte hinter dem Protokoll, sind da naturgemäß anderer Meinung

Während Android DoH bereits unterstützt, bereiten Mozilla und Google zurzeit das offizielle Ausrollen des Protokolls in ihren Browsern mit Testphasen vor. Während DNS-Abfragen bisher im Klartext von einer Applikation an einen DNS-Server versendet werden, werden sie bei Verwendung von DoH verschlüsselt und an einen speziellen DNS-Resolver versendet, der ebenfalls verschlüsselt antwortet. Einige Experten sprechen dem Protokoll die zugesicherten Merkmale jedoch teils ab. So schütze DoH keineswegs vor dem Tracking durch ISPs, da dies nicht nur über DNS funktioniere und zudem HTTPS nicht gänzlich verschlüsselt sei. Einstiegspunkte für neugierige ISPs seien unter anderem weiterhin SNI und OCSP Connections. Eine aktuelle Studie zeigt zudem, dass ein Blick auf den TLS-Handshake einem ISP meist bereits ausreicht, um zu bestimmen, welche Webseiten ein Kunde besucht.

Ein weiterer Kritikpunkt betrifft die Bündelung des DNS-Verkehrs auf einige große Anbieter, die die benötigten DNS-Resolver betreiben. Mozilla hat sich hier beispielsweise Cloudflare als Partner ausgesucht. Diese Verlagerung sei besonders für Unternehmen nur schwer akzeptabel, da hier Administratoren oft lokale DNS-Server und DNS-basierte Software nutzen, um den lokalen Datenverkehr zu filtern und zu überwachen. Mozilla sagte zu, dass wenn ein Unternehmens-DNS erkannt wird, DoH abgeschaltet würde. Projekte wie OpenBSD haben DoH wegen dieser Bündelung kategorisch deaktiviert. Weitere Kritikpunkte führt ein Bericht auf ZDNet auf.