Google weist Kritik an DNS-over-HTTPS in Chrome zurück

Google hat Kritik an der Integration des Protokolls DNS over HTTPS (DoH) zurückgewiesen, das DNS-Abfragen verschlüsselt und Nutzern mehr Sicherheit und Privatsphäre bieten soll. Ablehnung kommt unter anderem von Sicherheitsexperten und Internet Service Providern.

Das Domain Name System (DNS) ist das Adressbuch des Internets. Es übersetzt vor allem die Klarnamen von URLs in die IP-Adressen der zugehörigen Webserver und erspart Nutzern letztlich, statt Namen Zahlenfolgen in ihre Browser eingeben zu müssen. DNS-Server werden unter anderem von Internet Service Providern und Infrastruktur-Anbietern wie Cloudflare betrieben. Aber auch Google bietet eigene DNS-Server an.

DoH verschlüsselt die DNS-Anfragen auf dem Weg vom Browser zum DNS-Server. Der Betreiber des DNS-Servers ist trotzdem in der Lage, einen Nutzer zu verfolgen, vor allem weil er zur Verarbeitung über die eigentliche DNS-Abfrage hinausgehende Daten erhält. Googles Browser Chrome bietet nun seit Version 78, die vor einer Woche freigegeben wurde, die Möglichkeit, DNS over HTTPS in den Einstellungen aktivieren.

Der US-Internetanbieter Comcast erklärte daraufhin gegenüber US-Behörden, Google plane mit der Einführung von DoH Chrome-Nutzer zum Umstieg auf Googles eigenen DNS-Dienst zu bewegen. Als Folge würden die Mehrheit der DNS-Daten weltweit bei Google landen. Googles „einseitige Zentralisierung von DNS ernste Probleme in Bezug auf Cybersicherheit, Datenschutz, Kartellrecht, nationale Sicherheit, Strafverfolgung, Netzwerkleistung und Servicequalität (inklusive 5G) und in anderen Bereichen aufwirft“.

Googles Kenji Baheux, Produktmanager für Chrome, bestritt diese Vorwürfe nun in einem Blogbeitrag. „Weil wir an Auswahl und Kontrolle für Nutzer glauben, haben wir nicht vor, Nutzer zum Wechsel ihres DNS-Anbieters zu zwingen.“

Tatsächlich sei Chrome nur in der Lage, DoH-Verbindungen anzubieten, falls der DNS-Anbieter des Nutzers dies unterstütze. Allerdings nennt Google auch direkt die möglichen DoH-Anbieter: Cleanbrowsing, Cloudflare, Comcast, DNS.SB, OpenDNS, Quad9 und eben auch sich selbst. „Falls der DNS-Server nicht auf der Liste steht, wird Chrome nicht in der Lage sein, DoH einzuschalten. Sobald die Verbreitung von DoH zunimmt rechnen wir damit, dass sich auch die Zahl der DoH-fähigen DNS-Anbieter erhöht“, ergänzte Baheux. Derzeit sind Chrome-Nutzer jedoch auf diese von Google zusammengestellte Liste für DoH beschränkt.

Auch Firefox setzt inzwischen ebenfalls auf DoH, verfolgt dabei jedoch einen anderen Ansatz. Ab Werk nutzt der Mozilla-Browser für DoH den US-Anbieter Cloudflare. Nutzer können jedoch auch einen beliebigen DNS-Anbieter hinterlegen, der verschlüsselte DNS-Anfragen unterstützt. Eine Übersicht bieten unter anderem die Website des IT-Sicherheitsspezialisten Mike Kuketz und das von Datenschutzaktivisten betriebene Portal Privacy-Handbuch. In Großbritannien verzichtet Mozilla nach Protesten von Behörden zudem vollständig auf DoH.

Genau diesen Ansatz kritisierte nun der DNS-Experte Paul Vixie. Es sei wichtig, so wie es Google mit Chrome vormache, DoH nur über bekannte und stabile DNS-Server anzubieten. Nur so seien Betreiber privater Netzwerke in der Lage, bestimmte DNS-Anbieter in ihren Firewalls zu blockieren und eine Umgehung der eigenen DNS-Server zu verhindern. DNS-Server seien nämlich wichtige Kontrollpunkte für die IT-Sicherheit. „Ich würde mir wünschen, Mozilla würde DoH in Firefox so umsetzen wie Chrome“, so Vixie weiter.