Menü
iX Magazin

IETF: Mehr Datenschutz für geschütztes DNS

Das Domain Name System droht zu einem Web-Dienst zu werden, den nur wenige große Provider verschlüsselt anbieten können. Die IETF sucht Auswege aus dem Dilemma.

Von
vorlesen Drucken Kommentare lesen 41 Beiträge
Datenschutz-Vorbehalte gegen geschütztes DNS

"Gibt es noch weitere Kritik?" Lange Schlangen auf dem 102. IETF-Treffen in Montreal bei der Vorstellung der Idee, DNS-Anfragen auf mehrere DoH-Server (DNS over HTTPS) zu verteilen.

Möglicherweise wird künftig nur eine Handvoll Anbieter verschlüsselte DNS-Anfragen (DNS over HTTPS, DoH) bearbeiten – und damit Material für entsprechend umfangreiche Nutzungsprofile in die Hände bekommen. Ein Vorschlag von Webentwickler Mark Nottingham auf dem jüngsten Treffen der Internet Engineering Task Force (IETF) in Montreal könnte etwas mehr Diversität bei der Umsetzung des fast fertigen DoH-Standards sicherstellen.

Noch sieht es aber nicht danach aus: Cloudflare ist zurzeit der einzige externe Anbieter eines DoH-Service. Mit Mozilla gib es einen ersten Großkunden, für den das Content Distribution Network (CDN) die in HTTPS-Anfragen eingebetteten DNS-Anfragen beantwortet. Die Vereinbarung, die Mozilla für den Firefox-Bowser ausschließlich mit Cloudflare abgeschlossen hat, heizt die Debatte über die Konzentration von DNS-Services allerdings an.

DNS over HTTPS, das gerade die Zielgerade der IETF-Standardisierung erreicht, sieht zunächst vor, dass Clients einen einzelnen DoH-Server nutzen. Einen Vorschlag für eine Aufteilung auf mehrere Anbieter machte Nottingham in einem Beitrag zu "DNS Resolver Identification and Use" (DRIU).

Nottingham zufolge soll ein Browser wie Mozillas Firefox – oder jeder andere Client – nicht einen, sondern mehrere DoH-Server fest eintragen. Die sollen kontinuierlich aktuelle Übersichten (Digests) senden, für welche Hosts sie DoH-Anfragen beantworten. Anhand dessen sollen die Clients entscheiden, welchen DoH-Server sie zum Nachschlagen eines bestimmten Namens nutzen. Einerseits sieht dann kein DoH-Server alle Anfragen eines Nutzers. Andererseits ließe sich DoH laut Nottingham auf diese Weise beschleunigen.

Ob sich eine solche Lastverteilung lohnt, ist umstritten. Experten zufolge werden DoH-Server meist Antworten für alle Namen geben. Eine Auswahl mehrerer DoH-Server könnte aber immerhin Zensurmaßnahmen gegen DoH erschweren. Gewählt würde ein DoH-Server für das Resolving aber wohl in erster Linie dann, wenn er eine optimale Infrastruktur mit großem Cache, guten Verbindungen zu anderen DNS-Diensten und dergleichen habe, so der Vorsitzende des Internet Architecture Board, Ted Hardie. Schlussendlich würden alle Anfragen doch bei großen CDNs landen, fürchtet er. Angesichts solcher Aussichten dürfte sich wohl kaum jemand die Mühe machen, eigene DoH-Server zu betreiben.

Nottingham, der gerade große DoH-Anbieter als Bollwerk gegen Zensurmaßnahmen ansieht, weil sie sich nur schwer sperren lassen, räumt den Zielkonflikt ein: "Wir wollen großen Websites und CDNs natürlich nicht noch mehr Vorteile gegenüber kleineren verschaffen." Vielleicht sei ein Mechanismus die Lösung, der keine Vorabvereinbarung zwischen Browsern oder anderen Clients und einem DoH-Server erforderlich mache. Doch so weit ist die Diskussion um die Zentralisierung des DNS noch nicht gediehen. (Monika Ermert) / (un)