Categories: BrowserWorkspace

Privatsphäre schützen: DNS über HTTPS in Firefox aktivieren

Das Domain Name System (DNS) ist einer der wichtigsten Dienste im Internet. Es fungiert quasi als Telefonbuch, indem es Nutzeranfragen wie www.zdnet.de in eine IP-Adresse übersetzt. Nur damit kommt die Verbindung zum gewünschten Server zustande. Ohne DNS müssten Nutzer zum Verbindungsaufbau im Browser die IP-Adresse des jeweiligen Servers eingeben.

Allerdings verraten unverschlüsselte DNS-Abfragen sehr viel über die Nutzer. Es ist sehr einfach, ein Bild von einer Person zu gewinnen, wenn man weiß, welche Server im Internet sie oder er besucht. Eine unverschlüsselte Abfrage zu einem DNS-Server sorgt dafür, dass der DNS-Server als ständiger Begleiter sehr gut über unsere Online-Aktivitäten informiert ist. Zumal dann, wenn, wie in den meisten Fällen, diese Abfragen auch noch protokolliert werden. Über diese „Kraft der Metadaten“ stolperte selbst Ex-CIA-Direktor Patraeus, dessen außereheliche Affäre durch die Analyse von Metadaten öffentlich wurde. Das kostete Patreus seinen Job.

Außerdem stellen unverschlüsselte DNS-Abfragen einen Angriffsvektor für sogenannten Man-in-the-Middle-Attacken dar. Bei einem solchen Angriff täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, dem das angegriffene Ziel vertraut. Es gibt also gute Gründe, DNS-Abfragen zu verschlüsseln.

Firefox: DNS über HTTPS (DoH)

Seit einiger Zeit bietet Firefox Unterstützung für DNS-Abfragen über das HTTPS-Protokoll. Durch DNS-over-HTTPS (DoH) werden DNS-Anfragen verschlüsselt. Das schützt vor DNS-Hijacking und Spoofing, garantiert die Vertraulichkeit von DNS-Servern und unterbindet im Wesentlichen die Möglichkeit, Informationen an Dritte weiterzugeben. Alle diese Vorteile sind möglich, da die Auflösung von Domainnamen nicht die öffentliche DNS-Infrastruktur zur Auflösung einer Domain nutzt, sonder stattdessen eine direkte Verbindung zwischen einem Endbenutzer und der Schnittstelle eines Webservers bereitstellt.

Dadurch haben Clients eine größere Kontrolle über ihre DNS-Abfragen. DoH garantiert, dass einem Client genaue IP-Adressinformationen zur Verfügung gestellt werden, wodurch Dritte keine Möglichkeit haben, zu sehen, auf welche Websites ein Benutzer zugreifen möchte.

Für die Bereitstellung eines mit DoH-DNS-Servers arbeitet Mozilla mit dem amerikanischen Unternehmen Cloudflare zusammen. Daran entzündet sich jedoch Kritik. Datenschutz-Experten sehen in der Zusammenarbeit das Potenzial, die Privatsphäre der Nutzer zu untergraben. Im Wesentlichen wird Firefox Domainnamen über die DNS-Server von Cloudflare auflösen. Dies wird es Cloudflare nicht nur ermöglichen, die DNS-Anfragen aller zu lesen, ein Sicherheitsproblem an sich, sondern auch dazu beitragen, das Internet noch zentraler zu machen, als es bereits ist.

Freie DNS-Server mit DoH-Support

Allerdings kann man mit Firefox auch freie DoH-DNS-Server nutzen. Eine Liste findet sich etwa auf der Webseite des IT-Sicherheitsspezialisten Mike Kuketz oder beim von Datenschutz-Aktivisten betriebenen Portal Privacy-Handbuch.

Will man unter Firefox nicht den voreingestellten DNS-Server nutzen, kann man sich also aus den öffentlich zur Verfügung stehenden DNS-Servern mit DoH-Support bedienen. Für den Test verwendet ZDNet.de den von dem Niederländer Rick Lahaye betriebenen DNS-Server SecureDNS.eu, der nicht nur DNS-over-HTTPS, sondern auch DNS-over-TLS und DNSCrypt unterstützt. Wer beispielsweise ein Android-9-Smartphone nutzt, kann für die Verschlüsselung von DNS-Abfragen DNS-over-TLS verwenden.

Unter Firefox – Einstellungen – Verbindunsgeinstellungen trägt man als DoH-Server https://doh.securedns.eu/dns-query oder https://ads-doh.securedns.eu/dns-query ein. Letzterer unterbindet die Verbindung zu bekannten Werbenetzwerken, sodass er auch als Adblocker funktioniert. Das reicht jedoch noch nicht.

Wie man unter about:networking sehen kann, kommt es nicht immer zu einem Verbindungsaufbau über die von Mozilla genutzte Technik Trusted Recursive Resolver (TRR) zum verschlüsselten DNS-Server. Offenbar traut der Firefox-Hersteller noch nicht zu 100 Prozent dem DoH-Technik und ermöglicht verschiedene Abstufungen:

Firefox: DoH/TRR-Abstufungen (Quelle: Mozilla/ Privacy-Handbuch)

Standardmäßig steht der TRR/DoH-Modus auf 2. Damit nutzt Firefox als Backup auch den im System vorhandenen DNS-Dienst, der in den IP-Einstellungen festgelegt ist. Im obigen about:networking-Screenshot kann man erkennen, dass manchmal der DNS-Server mit DoH-Support genutzt wird und manchmal nicht. Erst die TRR-Einstellung 3, die man über about:config und network.trr.mode eingeben kann, sorgt dafür, dass der angegebene DoH-DNS-Server immer genutzt wird. Damit das funktioniert, muss man unter network.trr-bootstrapAddress noch die IP-Adresse des DNS-Servers mit DoH-Support (146.185.167.43) eingetragen werden.

Firefox DNS over HTTPS (DoH): Fazit

Mit dem Support von DNS over HTTPS (DoH) schützt Firefox die Privatsphäre seiner Nutzer beim Surfen im Internet auch dann, wenn das Betriebssystem keinen standardmäßigen Support für eine verschlüsselte DNS-Abfrage bietet. Weder Windows, macOS oder Linux erlauben derzeit standardmäßig die Verschlüsselung von DNS-Abfragen. Nur Android 9 beherrscht dies mit Support für DNS over TLS (DoT). Egal welche der Techniken zur Verschlüsselung von DNS-Abfragen sich durchsetzen: alle sind besser als gar keine Verschlüsselung. Wünschenswert wäre allerdings eine systemweite Unterstützung für eine verschlüsselte DNS-Abfrage: Dann könnten auch alle anderen genutzten Anwendungen wie Outlook einen unverschlüsselten DNS-Dienst nutzen.

Mit TRR-Mode 3 und der Angabe der IP-Adresse des DoH-DNS-Servers nutzt Firefox standardmäßig die verschlüselte DNS-Abfrage über HTTPS (Bild: ZDNet.de).
Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

3 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

4 Tagen ago