Software::Netzwerk
Mozilla testet DNS über HTTPS weiter
In einem weiteren Test von DNS über HTTPS misst Mozilla in nächster Zeit neben der Dauer der Namensauflösung auch die Webseiten-Ladegeschwindigkeit. Dies soll die Frage klären, ob DNS über HTTPS auch den Abstand zwischen Benutzer und Server im Netz, der einigen Einfluss auf die verzögerungen hat, angemessen berücksichtigen kann.
Mozilla
Nach Ansicht von Mozilla ist das herkömmliche DNS nicht mehr zeitgemäß, besonders in Hinblick auf gestiegene Sicherheitsanforderungen, die sich auch im starken Anstieg der Nutzung von HTTPS anstelle von unverschlüsseltem HTTP manifestieren. Dieses Problem muss laut Mozilla behoben werden. Eine Option dafür ist
DNS über HTTPS, ein neues Protokoll, das die Sicherheit der DNS-Abfragen verbessern soll, indem es sie über eine verschlüsselte HTTP-Verbindung sendet. Es ist nicht der erste Versuch, DNS sicher zu machen. Schon lange gibt es DNSSEC, das jedoch nur eine Verifizierung der Daten ermöglicht, keine Verschlüsselung einsetzt und auf Clients kaum verwendet wird. Eine Alternative zu DoH ist DNS over TLS (DoT), das bereits vor DoH von der DPRIVE-Arbeitsgruppe spezifiziert wurde und theoretisch einfacher ist. Denn HTTPS setzt auch TLS zur Verschlüsselung ein, ist aber darüber hinaus ein weiteres komplexes Protokoll.
Vorteile von DoH sind, dass es auf die gesamte HTTP-Infrastruktur wie Content-Verteilnetzwerke, hunderte von Programmbibliotheken, Autorisierungsbibliotheken, Proxys und ausgefeilte Lastverteiler zurückgreifen kann. Es kann ferner die ganze HTTP/2-Funktionalität nutzen und in anderen HTTP-Verkehr integriert werden, was die Anzahl der nötigen Verbindungen senkt und die Geschwindigkeit erhöht. DNS over HTTPS (DoH) steht kurz vor der Standardisierung durch die Internet Engineering Task Force (IETF). Patrick McManus von Mozilla und P. Hoffman von ICANN sind die beiden treibenden Kräfte hinter diesem Protokoll.
Mozilla hatte DoH für einige Monate in der Entwicklerversion von Firefox getestet und meldete im August, dass die Geschwindigkeit von DoH zumeist etwa 6 Millisekunden langsamer als bei DNS war. Allerdings gab es bei DoH weniger Ausreißer: Die langsamsten 20% der Abfragen waren bei DoH deutlich schneller als bei DNS. Bei der Fehlerrate gab es keine nennenswerten Unterschiede. Für Mozilla ist die geringfügig erhöhte Wartezeit angesichts der höheren Sicherheit akzeptabel. Der Test wird aktuell in Betaversionen von Firefox fortgesetzt.
Die bisherigen Tests haben allerdings nur die Geschwindigkeit von DNS selbst gemessen. Letztlich geht es Mozilla aber um das schnellstmögliche Laden von ganzen Webseiten. Dabei spielt es auch eine Rolle, von welchem Server die Webseite ausgeliefert wird. Viele Webpräsenzen nutzen die Dienste von Content Delivery Networks (CDNs), die effektiv Caches der eigentlichen Seiten darstellen. Sie sollen dafür sorgen, dass Webseiten immer von einem möglichst nahegelegenen Server ausgeliefert werden. Damit dies funktioniert, sind die zugehörigen DNS-Server so aufgebaut, dass sie eine zum Standort, abgeleitet aus der IP-Adresse des Benutzers, nahegelegene Adresse liefern.
Mit den bisherigen Tests funktionierte das gut, da alle DNS-über-HTTPS-Abfragen an einen Server von Cloudflare gestellt wurden, der entsprechend sinnvoll antworten kann, weil Cloudflare selbst ein CDN-Anbieter ist. Nun startet Mozilla einen neuen Test, der nicht nur die Zeit für die DNS-Auflösung, sondern auch die Zeit zum Holen der gesamten Webseite misst. Der Test läuft zwei Wochen lang in den USA. Gemessen werden Webseiten, die von Akamai gehostet werden. Die Ergebnisse sollen nach dem Ende des Tests veröffentlicht werden.
Mozilla arbeitet laut der Mitteilung weiter daran, zusätzliche vertrauenswürdige DoH-Anbieter zu gewinnen. Termine für den breiteren Einsatz von DoH kann Mozilla noch nicht nennen.
){kind=logo}
