Das Domain Name System (DNS) ist einer der wichtigsten Dienste im Internet. Es fungiert quasi als Telefonbuch, indem es Nutzeranfragen wie www.zdnet.de in eine IP-Adresse übersetzt. Nur damit kommt die Verbindung zum gewünschten Server zustande. Ohne DNS müssten Nutzer zum Verbindungsaufbau im Browser die IP-Adresse des jeweiligen Servers eingeben.
Allerdings verraten unverschlüsselte DNS-Abfragen sehr viel über die Nutzer. Es ist sehr einfach, ein Bild von einer Person zu gewinnen, wenn man weiß, welche Server im Internet sie oder er besucht. Eine unverschlüsselte Abfrage zu einem DNS-Server sorgt dafür, dass der DNS-Server als ständiger Begleiter sehr gut über unsere Online-Aktivitäten informiert ist. Zumal dann, wenn, wie in den meisten Fällen, diese Abfragen auch noch protokolliert werden. Über diese „Kraft der Metadaten“ stolperte selbst Ex-CIA-Direktor Patraeus, dessen außereheliche Affäre durch die Analyse von Metadaten öffentlich wurde. Das kostete Patreus seinen Job.
Außerdem stellen unverschlüsselte DNS-Abfragen einen Angriffsvektor für sogenannten Man-in-the-Middle-Attacken dar. Bei einem solchen Angriff täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, dem das angegriffene Ziel vertraut. Es gibt also gute Gründe, DNS-Abfragen zu verschlüsseln.
Firefox: DNS über HTTPS (DoH)
Seit einiger Zeit bietet Firefox Unterstützung für DNS-Abfragen über das HTTPS-Protokoll. Durch DNS-over-HTTPS (DoH) werden DNS-Anfragen verschlüsselt. Das schützt vor DNS-Hijacking und Spoofing, garantiert die Vertraulichkeit von DNS-Servern und unterbindet im Wesentlichen die Möglichkeit, Informationen an Dritte weiterzugeben. Alle diese Vorteile sind möglich, da die Auflösung von Domainnamen nicht die öffentliche DNS-Infrastruktur zur Auflösung einer Domain nutzt, sonder stattdessen eine direkte Verbindung zwischen einem Endbenutzer und der Schnittstelle eines Webservers bereitstellt.
Dadurch haben Clients eine größere Kontrolle über ihre DNS-Abfragen. DoH garantiert, dass einem Client genaue IP-Adressinformationen zur Verfügung gestellt werden, wodurch Dritte keine Möglichkeit haben, zu sehen, auf welche Websites ein Benutzer zugreifen möchte.
Für die Bereitstellung eines mit DoH-DNS-Servers arbeitet Mozilla mit dem amerikanischen Unternehmen Cloudflare zusammen. Daran entzündet sich jedoch Kritik. Datenschutz-Experten sehen in der Zusammenarbeit das Potenzial, die Privatsphäre der Nutzer zu untergraben. Im Wesentlichen wird Firefox Domainnamen über die DNS-Server von Cloudflare auflösen. Dies wird es Cloudflare nicht nur ermöglichen, die DNS-Anfragen aller zu lesen, ein Sicherheitsproblem an sich, sondern auch dazu beitragen, das Internet noch zentraler zu machen, als es bereits ist.
Freie DNS-Server mit DoH-Support
Allerdings kann man mit Firefox auch freie DoH-DNS-Server nutzen. Eine Liste findet sich etwa auf der Webseite des IT-Sicherheitsspezialisten Mike Kuketz oder beim von Datenschutz-Aktivisten betriebenen Portal Privacy-Handbuch.
Will man unter Firefox nicht den voreingestellten DNS-Server nutzen, kann man sich also aus den öffentlich zur Verfügung stehenden DNS-Servern mit DoH-Support bedienen. Für den Test verwendet ZDNet.de den von dem Niederländer Rick Lahaye betriebenen DNS-Server SecureDNS.eu, der nicht nur DNS-over-HTTPS, sondern auch DNS-over-TLS und DNSCrypt unterstützt. Wer beispielsweise ein Android-9-Smartphone nutzt, kann für die Verschlüsselung von DNS-Abfragen DNS-over-TLS verwenden.
Unter Firefox – Einstellungen – Verbindunsgeinstellungen trägt man als DoH-Server https://doh.securedns.eu/dns-query oder https://ads-doh.securedns.eu/dns-query ein. Letzterer unterbindet die Verbindung zu bekannten Werbenetzwerken, sodass er auch als Adblocker funktioniert. Das reicht jedoch noch nicht.
Wie man unter about:networking sehen kann, kommt es nicht immer zu einem Verbindungsaufbau über die von Mozilla genutzte Technik Trusted Recursive Resolver (TRR) zum verschlüsselten DNS-Server. Offenbar traut der Firefox-Hersteller noch nicht zu 100 Prozent dem DoH-Technik und ermöglicht verschiedene Abstufungen:
Standardmäßig steht der TRR/DoH-Modus auf 2. Damit nutzt Firefox als Backup auch den im System vorhandenen DNS-Dienst, der in den IP-Einstellungen festgelegt ist. Im obigen about:networking-Screenshot kann man erkennen, dass manchmal der DNS-Server mit DoH-Support genutzt wird und manchmal nicht. Erst die TRR-Einstellung 3, die man über about:config und network.trr.mode eingeben kann, sorgt dafür, dass der angegebene DoH-DNS-Server immer genutzt wird. Damit das funktioniert, muss man unter network.trr-bootstrapAddress noch die IP-Adresse des DNS-Servers mit DoH-Support (146.185.167.43) eingetragen werden.
Firefox DNS over HTTPS (DoH): Fazit
Mit dem Support von DNS over HTTPS (DoH) schützt Firefox die Privatsphäre seiner Nutzer beim Surfen im Internet auch dann, wenn das Betriebssystem keinen standardmäßigen Support für eine verschlüsselte DNS-Abfrage bietet. Weder Windows, macOS oder Linux erlauben derzeit standardmäßig die Verschlüsselung von DNS-Abfragen. Nur Android 9 beherrscht dies mit Support für DNS over TLS (DoT). Egal welche der Techniken zur Verschlüsselung von DNS-Abfragen sich durchsetzen: alle sind besser als gar keine Verschlüsselung. Wünschenswert wäre allerdings eine systemweite Unterstützung für eine verschlüsselte DNS-Abfrage: Dann könnten auch alle anderen genutzten Anwendungen wie Outlook einen unverschlüsselten DNS-Dienst nutzen.
Neueste Kommentare
9 Kommentare zu Privatsphäre schützen: DNS über HTTPS in Firefox aktivieren
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
DNS-Anfragen zu verschlüsseln ist eine sehr sinnvolle Maßnahme, weshalb es sehr zu begrüßen ist, dass Firefox das nun unterstützt.
Die Anweisungen in diesem Artikel sind gut beschrieben und leicht umzusetzten.
Bevor man den Anbieter des Dienstes diskretidiert, sollte man vielleicht mal dessen Webseite besuchen (www.securedns.eu) und dort unter About sein Profil und seine Motivation lesen. Mir erscheint er doch eher vertrauenswürdig. Und ohne Vertrauen zu bestimmten Anbietern geht es halt nicht im Internet.
Ich habe noch keine Web-Seite gefunden, die nicht funktioniert hat, was nicht heissen soll, dass es nicht doch einzelne geben kann.
Schön und gut, aber damit funktioniert bei mir kein E-Mail mehr. Wie kann ich E-Mail so konfigurieren, dass das auch mit SecureDNS über DoH läuft? Muss ich da den Port ändern?
Ich habe SecureDNS beim Router eingestellt gehabt. Jetzt habe ich es wieder auf Digitalcourage zurück gestellt, damit E-Mail wieder läuft.
Scheinbar läuft SecureDNS überhaupt nicht, wenn man nicht DoH oder DoT einstellt. DoT kann ich sowieso vergessen, da Firefox das gar nicht unterstützt.
Ich finde den Artikel hervorragend und wünsche mir noch ausführlichere Informationen – jedenfalls danke
Noch als Hinweis – mag auch andere Seiten treffen: wenn der Wert für network.trr.mode auf 3 gesetzt wird, funktioniert die Anmeldeseite für Office 365 (https://portal.office.com) nicht mehr. 3 scheint also zumindest aktuell noch nicht produktiv nutzbar zu sein.
Noch subjektiver kann ein Artikel gar nicht sein. Was hier total ignoriert wird, ist, dass auch verschlüsselte Anfragen vom DNS-Betreiber gespeichert und ausgewertet werden können. Was jedoch überhaupt nicht behandelt wird, dass eine unverschlüsselte DNS-Abfrage ohne Probleme manipuliert werden kann.
Beide Punkte werden im Artikel erwähnt:
„Außerdem stellen unverschlüsselte DNS-Abfragen einen Angriffsvektor für sogenannten Man-in-the-Middle-Attacken dar. Bei einem solchen Angriff täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, dem das angegriffene Ziel vertraut. Es gibt also gute Gründe, DNS-Abfragen zu verschlüsseln.“
„Im Wesentlichen wird Firefox Domainnamen über die DNS-Server von Cloudflare auflösen. Dies wird es Cloudflare nicht nur ermöglichen, die DNS-Anfragen aller zu lesen, ein Sicherheitsproblem an sich, sondern auch dazu beitragen, das Internet noch zentraler zu machen, als es bereits ist.“
Bin ein sehr normaler Anwender und dankbar für diesen Artikel. Für mein Niveau gut verständlich und der Rest war kopieren und einfügen.
Dieses Gefrickel soll doch wohl ernsthaft kein normaler Benutzer anwenden.
Schade, dass man für einen Artikel nur „nützlich – ja/nein“ vergeben kann.
Dieser Artikel hat ***** verdient!