Login
Newsletter
Werbung
Mo, 9. September 2019, 14:46

Software::Browser

Mozilla konkretisiert Pläne für DNS über HTTPS

Mozilla hat die Ergebnisse der jüngsten Tests von DNS über HTTPS vorgestellt. Diese führen zu Heuristiken, in welchen Situationen DNS über HTTPS nicht zur Anwendung kommen sollte. Ab Ende September soll DNS über HTTPS in den USA für einen Teil der Benutzer aktiviert werden.

Mozilla

Nach Ansicht von Mozilla ist das herkömmliche DNS nicht mehr zeitgemäß, besonders in Hinblick auf gestiegene Sicherheitsanforderungen, die sich auch im starken Anstieg der Nutzung von HTTPS anstelle von unverschlüsseltem HTTP manifestieren. Dieses Problem muss laut Mozilla behoben werden. Eine Option dafür ist DNS über HTTPS, ein neues Protokoll, das die Sicherheit der DNS-Abfragen verbessern soll, indem es sie über eine verschlüsselte HTTP-Verbindung sendet. Es ist nicht der erste Versuch, DNS sicher zu machen. Schon lange gibt es DNSSEC, das jedoch nur eine Verifizierung der Daten ermöglicht, keine Verschlüsselung einsetzt und auf Clients kaum verwendet wird. Eine Alternative zu DoH ist DNS over TLS (DoT), das bereits vor DoH von der DPRIVE-Arbeitsgruppe spezifiziert wurde und theoretisch einfacher ist. Denn HTTPS setzt auch TLS zur Verschlüsselung ein, ist aber darüber hinaus ein weiteres komplexes Protokoll.

Bei traditionellem DNS sind mehrere Server involviert, die aus Benutzersicht nicht vertrauenswürdig sind, da jeder potentiell die Anfragen aufzeichnet. DoH kann die Privatsphäre verbessern, weil die Benutzer nur noch einen Server kontaktieren müssen. Diesem müssen sie allerdings ebenso vertrauen, was bei Mozillas Experimenten auf einer Datenschutzerklärung beruht.

Vorteile von DoH gegenüber Alternativen sind, dass es auf die gesamte HTTP-Infrastruktur wie Content-Verteilnetzwerke, hunderte von Programmbibliotheken, Autorisierungsbibliotheken, Proxys und ausgefeilte Lastverteiler zurückgreifen kann. Es kann ferner die ganze HTTP/2-Funktionalität nutzen und in anderen HTTP-Verkehr integriert werden, was die Anzahl der nötigen Verbindungen senkt und die Geschwindigkeit erhöht. DNS over HTTPS (DoH) ist nun als RFC8484 durch die Internet Engineering Task Force (IETF) standardisiert.

Mozilla hatte DoH für einige Monate in der Entwicklerversion von Firefox getestet und meldete im August 2018, dass die Geschwindigkeit von DoH zumeist etwa 6 Millisekunden langsamer, die maximale Zeit aber deutlich geringer als bei DNS war. In einem weiteren Test ermittelte Mozilla im Dezember 2018 ähnliche Resultate beim Laden von ganzen Webseiten, die von Akamai gehostet werden. Danach führte Mozilla die Tests mit erweiterten Metriken fort.

Weitere Messungen in den letzten Wochen lieferten weitere Informationen darüber, wie DoH mit vorhandenen DNS-Konfigurationen zusammenwirkt. Das betrifft zum einen Jugendschutzfilter, zum anderen Unternehmens-DNS, das für dieselben Namen unterschiedliche IP-Adressen liefert, abhängig davon, ob die Anfrage von intern oder von extern kommt. Die Ergebnisse dieser Messungen liegen jetzt vor. Sie besagen, dass Jugendschutzfilter oder die »Sichere Suche« nur bei 4,3% der Benutzer verwendet wurden, und nur ganz selten beides gleichzeitig. Unternehmens-DNS kam bei 9,2% der Benutzer vor.

Da Jugendschutzfilter auf spezialisierten DNS-Servern beruhen, muss Mozilla in diesen Fällen auf DoH verzichten und es abgeschaltet lassen, wenn die Situation erkannt wird. Das gleiche gilt, wenn ein Unternehmens-DNS erkannt wird. Es steht Unternehmen aber offen, DoH in den Einstellungen explizit wieder einzuschalten. Ein weiterer Mechanismus, den Mozilla in den Browser einbaut, geht von DoH zum regulären DNS über, wenn Probleme mit der Namensauflösung festgestellt werden.

Mozilla will mit den Anbietern von Jugendschutzfiltern gemeinsam einen Mechanismus entwickeln, um solche Filter zu erkennen, wenn sie im Netzwerk und nicht auf dem lokalen Rechner laufen. Hauptsächlich soll dazu eine spezielle Domain verwendet werden, die von den Anbietern blockiert wird.

Laut Mozilla haben bereits 70.000 Nutzer DoH von sich aus aktiviert, da sie sich offenbar davon Vorteile versprechen. Bei der generellen Aktivierung von DoH will Mozilla aber vorsichtig vorgehen. Ab Ende September soll DoH bei einem Teil der Nutzer in den USA aktiviert werden. Diese Benutzer werden darüber informiert und können die Aktivierung ablehnen. Sollten sich in dieser Phase neue Probleme ergeben, kann Mozilla entsprechend reagieren. Bei ausbleibenden Problemen soll DoH schließlich bei allen Benutzern aktiviert werden, es kann weiterhin in den Einstellungen abgeschaltet werden.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten

141
Mach­t's gut!

51
Neue Raspber­ry Pi-Va­ri­an­te mit 8 GB RAM

0
Genode 20.05 frei­ge­ge­ben

9
Sub­ver­si­on 1.14.0-LTS vor­ge­stellt

0
»Hum­ble Ci­ties: Sky­lines Bund­le« vor­ge­stellt

0
End of Life für Co­reOS Con­tai­ner Linux ver­kün­det

32
Elek­tra 0.9.2 er­schie­nen

8
Nex­tDNS ver­lässt die Be­ta-Pha­se

23
Tu­xe­do stellt Ga­mer-Note­book vor

0
Libre Gra­phics Mee­ting be­ginnt als On­li­ne-Va­ri­an­te
 
Werbung