Mozilla Firefox und Comcast kooperieren für DNS over HTTPS

Um die eigene Kundschaft nicht an andere DNS-Anbieter zu verlieren, unterwirft sich Comcast den Trusted-Resolver-Bestimmungen von Mozilla

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 30 Beiträge

(Bild: Sundry Photography/Shutterstock.com)

Von

Comcast und Mozilla machen bei DNS over HTTPS (DoH) gemeinsame Sache. Als erster Internet Service Provider ist Comcast vergangene Woche dem "Trusted Recursive Resolver"-Programm von Mozilla beigetreten und kann damit die über Firefox ausgehenden DoH-Anfragen seiner Kunden selbst beantworten. US-Nutzer von Firefox werden ansonsten über Cloudflares Resolver bedient. Die Umleitung von DNS-Anfragen über einen – oder künftig wenige – DNS-Resolver sorgt nach wie vor für viele Diskussionen.

DoH soll dabei helfen, das DNS gegen mithörende Dritte abzusichern, sowohl auf die Erstellung von Profilen erpichte Unternehmen, als auch auf Vollspeicherung getrimmte Geheimdienste. Das bei der Internet Engineering Task Force (IETF) standardisierte Protokoll sorgte anders als sein kurz zuvor entwickelter Konkurrent, DNS über TLS (DoT), für hitzige politische Debatten, weil Mozilla dezentral abgewickelten DNS-Verkehr zunächst über einen einzigen zentralen Provider, den US-DNS-Anbieter Cloudflare, abwickeln wollte. So hoch schlugen die Wogen insbesondere in Europa, dass Mozilla die Implementierung zunächst auf US-Nutzer beschränkte.

Zur Absicherung der erklärten Datenschutz-Versprechungen hatte Mozilla gleich zu Anfang klare Vorgaben für die Behandlung der bei Cloudflare auflaufenden DNS-Anfragen von Firefox-Benutzern vereinbart. So darf ein Trusted Recursive Resolver (TRR) die Daten aus den DNS-Abfragen maximal für 24 Stunden speichern, nicht weitergeben oder kommerziell verwerten. Außerdem verpflichtet sich ein TRR-Betreiber, datenschutzfreundlich die für die Auflösung der Namen im DNS weiter nach oben gereichten Anfragen aller persönlichen Daten zu entkleiden. Auch für diese DNS Query Minimization hat die IETF eine Spezifikation verabschiedet.

Weitere Auflagen für die TRR-Betreiber sind transparente Datenschutz-Regeln, sowie Berichte darüber, welche Daten von Strafverfolgern abgefragt wurden. Schließlich verlangt Mozilla laut eines Blogbeitrags von den TRR-Betreibern, dass sie nur auf Wunsch der Nutzer gefiltert werden dürfen, also etwa mittels eingestellter Kinderfilter, oder wenn der Provider gesetzlich zur Filterung verpflichtet ist. Die Einschränkung der Nutzerfreiheit durch staatliche auferlegte DNS-Filter gehörte anfangs zu den wichtigsten Argumenten der DoH-Befürworter. Immerhin, Mozilla behält sich vor, sich die TRR-Betreiber auszusuchen – exzessive lokale Filterregime dürften einen Beitritt zum TRR-Programm unmöglich machen.

Comcast kann durch den Beitritt zum TRR-Programm, als dritter Resolverbetreiber nach Cloudflare und dem kalifornischen NextDNS, in Zukunft den DNS-Verkehr der eigenen Nutzer, die von Firefox aus ihre Anfragen via DoH stellen, selbst abarbeiten. Damit spart man sich möglicherweise Kundenanfragen wegen Problemen bei der Auflösung von Domainanfragen via Firefox/Cloudflare. Zugleich muss man auf Dinge wie die Umleitung von Domainvertippern oder nicht-existierenden Domains auf eine eigene „Empfehlungsseite“ verzichten. Auch diese bei vielen großen ISPs beliebte Praxis verbieten die TRR-Regeln.

Einen weiteren Schritt in Richtung verschlüsseltes DNS macht auch Apple. Sowohl iOS 14 als auch iPadOS 14 und MacOS Big Sur werden DoH und DoT schon in Betriebssystem unterstützten und damit Entwicklern erlauben, ihre Apps entsprechend mit einem Datenschutz freundlichen Resolver zu verknüpfen. Durch die Unterstützung in den Betriebssystemen soll die Nutzung von verschlüsseltem DNS unabhängig vom Browser werden. Daran wie künftig über die bislang bekannten Namen hinaus, Resolver aufgefunden werden, die verschlüsseltes DNS anbieten, wird bei der IETF weiter gerungen.

(emw)