Windows: Microsoft plant Integration von DNS over HTTPS

HINWEIS 16.5.2020

Windows 10: So aktiviert man DNS over HTTPS

Mit dem Insider-Build 19628.1 steht DNS over HTTPS (DoH) erstmals unter Windows 10 standardmäßig zur Verfügung. Damit können Anwender DNS-Abfragen verschlüsseln. Das dient nicht nur dem Schutz der Privatsphäre, sondern sorgt auch für mehr Sicherheit.

Zum Artikel

Microsoft will DNS-Abfragen in Windows mit DNS over HTTPS (DoH) verschlüsseln. Das teilen die Netzwerk-Entwickler Tommy Jensen, Ivan Pashov und Gabriel Montenegro in einem gemeinsam verfassten Blog-Beitrag mit.

Als Motivation nennen die Entwickler den Schutz der Privatsphäre: „Hier im Windows Core Networking Team sind wir daran interessiert, Ihren Traffic so privat wie möglich, schnell und zuverlässig wie möglich zu halten.“ Mit der Unterstützung verschlüsselter DNS-Abfragen in Windows schließe Microsoft eine der letzten verbleibenden Klartext-Domainnamenübertragungen im allgemeinen Webverkehr, schreiben die Entwickler.

Microsoft: Schutz der Privatsphäre ist Menschenrecht

Microsoft gibt zu, dass die Umsetzung nicht ohne Probleme verlaufen werde, aber dem höheren Ziel nach Schutz der Privatsphäre der Anwender diene. „Die Bereitstellung von verschlüsselter DNS-Unterstützung ohne Unterbrechung der bestehenden Windows-Geräte-Administrationskonfiguration wird nicht einfach sein. Bei Microsoft glauben wir jedoch, dass wir die Privatsphäre als Menschenrecht behandeln müssen. Wir müssen End-to-End-Cybersicherheit in die Technologie integrieren.“

„Wir glauben auch, dass die Einführung von verschlüsseltem DNS unter Windows dazu beitragen wird, das gesamte Internet-Ökosystem gesünder zu machen. Es wird von vielen angenommen, dass die DNS-Verschlüsselung eine DNS-Zentralisierung erfordert. Dies gilt nur, wenn die verschlüsselte DNS-Einführung nicht universell ist. Um das DNS dezentral zu halten, wird es für Client-Betriebssysteme wie Windows und Internet Service Provider gleichermaßen wichtig sein, verschlüsselte DNS weitestgehend zu übernehmen.

Bei der Implementierung von DNS over HTTPS folgt Microsoft selbst aufgestellten Leitlinien:

• „Windows DNS muss standardmäßig so privat und funktional wie möglich sein, ohne dass eine Benutzer- oder Admin-Konfiguration erforderlich ist, da der Windows DNS-Verkehr eine Momentaufnahme des Browserverlaufs des Benutzers darstellt. Für Windows-Benutzer bedeutet dies, dass ihre Erfahrungen durch Windows out of the box so privat wie möglich gemacht werden. Für Microsoft bedeutet dies, dass wir nach Möglichkeiten suchen werden, den Windows-DNS-Verkehr zu verschlüsseln, ohne die von Benutzern und Systemadministratoren eingestellten DNS-Resolver zu ändern.“
• „Datenschutzbewusste Windows-Benutzer und -Administratoren müssen zu den DNS-Einstellungen geführt werden, auch wenn sie noch nicht wissen, was DNS ist. Viele Benutzer sind daran interessiert, ihre Privatsphäre zu kontrollieren und nach datenschutzorientierten Einstellungen wie App-Berechtigungen für Kamera und Standort zu suchen, sind sich aber möglicherweise nicht bewusst oder wissen nichts über DNS-Einstellungen oder verstehen nicht, warum sie wichtig sind, und suchen möglicherweise nicht nach ihnen in den Geräteeinstellungen.“
• „Windows-Benutzer und -Administratoren müssen in der Lage sein, ihre DNS-Konfiguration mit so wenigen einfachen Aktionen wie möglich zu verbessern. Wir müssen sicherstellen, dass wir keine speziellen Kenntnisse oder Anstrengungen von Windows-Benutzern erfordern, um von verschlüsseltem DNS zu profitieren. Unternehmensrichtlinien und Benutzeroberflächenaktionen sollten etwas sein, das Sie nur einmal tun müssen.
• Windows-Benutzer und -Administratoren müssen den Fallback von verschlüsseltem DNS nach der Konfiguration explizit zulassen. Sobald Windows für die Verwendung von verschlüsseltem DNS konfiguriert wurde und keine weiteren Anweisungen von Windows-Benutzern oder -Administratoren erhält, sollte es davon ausgehen, dass der Rückgriff auf unverschlüsselten DNS verboten ist.“

Offen für DNS over TLS (DoT)

Zunächst will Microsoft basierend auf diesen Prinzipien DNS over HTTPS (DoH) im Windows DNS-Client bereitstellen. Allerdings ziele das Windows-Networking-Team darauf ab, „den Benutzern die Verwendung beliebiger Protokolle zu ermöglichen, sodass wir in Zukunft offen für andere Optionen wie DNS über TLS (DoT) sind. Im Moment priorisieren wir die DoH-Unterstützung als diejenige, die am ehesten einen unmittelbaren Nutzen für alle bietet. DoH ermöglicht es uns beispielsweise, unsere bestehende HTTPS-Infrastruktur wiederzuverwenden.“

Automatische Umstellung

Wenn Nutzer in Windows einen DNS-Server konfiguriert haben, der auch DoH-Unterstützung bietet, wird die erste Insider-Version mit DoH-Support einfach auf DNS over HTPPS umstellen. „Es gibt inzwischen mehrere öffentliche DNS-Server, die DoH unterstützen, und wenn ein Windows-Benutzer oder -Gerät heute einen von ihnen konfiguriert, verwendet Windows einfach klassisches DNS (ohne Verschlüsselung) für diesen Server. Da diese Server und ihre DoH-Konfigurationen jedoch bekannt sind, kann Windows automatisch auf DoH aktualisieren, während es den gleichen Server verwendet.“

In jedem Fall will Microsoft nicht den vom Benutzer eingestellten DNS-Server ändern: „Wir werden keine Änderungen daran vornehmen, welcher DNS-Server von Windows für die Verwendung durch den Benutzer oder das Netzwerk konfiguriert wurde. Heute entscheiden Benutzer und Administratoren, welcher DNS-Server verwendet werden soll, indem sie das Netzwerk auswählen, dem sie beitreten, oder den Server direkt angeben; Windows mit DoH-Support wird daran nichts ändern. … Wir glauben, dass Administratoren das Recht haben, zu kontrollieren, wohin ihr DNS-Verkehr geht.“

In der Folge will Microsoft dann das User-Interface für die DNS-Konfiguration verbessern, sodass Anwender leichter auf die DNS-Einstellungen zugreifen können. „In zukünftigen Insider-Versionen müssen wir datenschutzfreundlichere Möglichkeiten für unsere Benutzer schaffen, ihre DNS-Einstellungen unter Windows zu ermitteln und diese Einstellungen DoH-fähig zu machen. Dies gibt Benutzern und Administratoren die Möglichkeit, DoH-Server explizit zu konfigurieren.

Einschätzung DoH für Windows

Es ist begrüßenswert, dass Microsoft in Windows eine systemweite Verschlüsselung von DNS-Abfragen anstrebt. Anders als bei Browsern, die wie Firefox ebenfalls schon eine DNS-Abfrage verschlüsseln können, ist eine systemweite Umsetzung auf Betriebssystemebene natürlich sinnvoller, da dadurch sämtlicher Datenverkehr über einen verschlüsselten DNS-Server läuft und nicht nur die Anfrage des Browsers. Derzeit gibt es noch kein Desktop-Betriebssystem, das standardmäßig die Verschlüsselung von DNS-Abfragen unterstützt.

Bei Mobilbetriebssystem sieht es etwas anders aus. Seit Android 9 gibt es die Möglichkeit, DNS-Datenverkehr zu verschlüsseln. Google hat sich dabei für DNS over TLS (DoT) entschieden.

Gründe zur Verschlüsselung von DNS-Abfragen

Während viele Websites heute sicheres HTTP (HTTPS), also eine per TLS verschlüsselte HTTP-Verbindung unterstützen oder gar vorschreiben, wird bei Anfragen an das Domain Name System (DNS) üblicherweise auf eine Verschlüsselung verzichtet. Das ermöglicht es nicht nur, jegliche DNS-Anfragen auszuspähen, sondern auch zu fälschen oder zu manipulieren.

Bereits 2017 hat der Informatiker Dominik Herrmann in seiner Dissertation „Das Internet-Adressbuch bedroht unsere Privatsphäre“ (PDF) nachgewiesen, wie anhand von unverschlüsselten DNS-Abfragen, die Identität eines Internetnutzers ermittelt werden kann. Herrmann sieht eine Zentralisierung der Namensauflösung für die internationale Konzerne wie Google, OpenDNS und Smyantec verantwortlich seien. „Im Jahr 2016 beantworteten allein die DNS-Server von Google schon mehr als 13 Prozent aller DNS-Anfragen pro Tag.“