zurück zum Artikel

DNS: Browser-Hersteller erklären ihre Pläne für verschlüsselte Namensauflösung Update

Browser-Hersteller erklären ihre Pläne für verschlüsselte Namensauflösung

(Bild: JeongGuHyeok )

Ohne Namensauflösung funktioniert kaum noch eine Internet-Anwendung. Aber die eigentlich erwünschte verschlüsselte Auflösung macht mehr Probleme als gedacht.

Mozilla will trotz stürmischer Diskussionen Kurs halten bei der Namensauflösung per DNS over HTTPS (DoH). DoH nagt noch am traditionellen System der unverschlüsselten Namensauflösung, könnte aber als Browser-Bestandteil das herkömmliche DNS großflächig ablösen. Browser, die für DoH ausgelegt sind, kommunizieren bisher mit externen DNS-Resolvern über HTTPS-Tunnel, um von diesen Domainnamen zu IP-Adressen auflösen zu lassen. Gleiches tun optionale Clients für DNS-over-TLS. Doch diese stehen nicht so in der Kritik, weil DoT anders als DoH bisher nicht in Browser eingebaut wird.

Das ist umstritten, sodass beispielsweise Google vorsichtigere Schritte für seinen Chrome-Browser plant. "Wir werden das den Nutzern nicht aufzwingen," sagte Kenji Baheux, verantwortlich für Chrome- und Web-Development, vor Entwicklern und ISP-Vertretern bei einem Treffen der Internet Engineering Task Force (IETF). Dafür plant der Suchmaschinenspezialist zunächst einen Test mit einer Gruppe von DoH-Resolver-Anbietern [1].

Eine Umgehung der DNS-Konfiguration, die der Nutzer aus seinem lokalen Netz bezieht, dürfte vor allem in Firmen Probleme machen, weil weder Admins noch Nutzer damit rechnen, argumentierte Baheux. Und weil externe Resolver keine internen Server kennen (deren Domainnamen und IP-Adressen werden absichtlich nicht im öffentlichen DNS publiziert), sind Browser mit aktiviertem DoH von firmeninternen Ressourcen abgeschnitten, wenn der Zugriff darauf auf der DNS-Namensauflösung gründet.

Mozilla, der Hersteller des Firefox-Browsers, hat sich als Provider für die Auflösung von DNS-Anfragen vi DOH Cloudflare ausgesucht. Das hat dem Unternehmen einen Sturm der Entrüstung und eine Nominierung zum "Internet-Bösewicht des Jahres" [2] eingebracht. Nominiert hatte das Unternehmen, das sich Vertraulichkeit auf die Fahnen schreibt, die Vereinigung britischer Internet-Service-Provider. Allerdings erfolgte die Nominierung aus der individuellen Sicht der Service-Provider, denen DoH Teile der Verkehrskontrolle und Einnahmen durch Werbung aus der Hand nimmt. Hingegen dürften Nutzer, die auf Durchlässigkeit staatlich kontrollierter großer Firewalls angewiesen sind, von DoH sehr profitieren, weil die DNS-Anfragen im verschlüsselten Tunnel von Dritten nicht lesbar, also auch nicht zensierbar sind.

Mozilla führt gerade den Aspekt der erschwerten Zensierbarkeit als Argument für DoH auf und hält am Rollout fest. Obwohl aber die Zensurumgehung weltweit nur einem Teil der Nutzer ein akutes Anliegen ist, soll DoH in Firefox demnächst grundsätzlich aktiviert werden und nur per Opt-Out abschaltbar sein. Zudem soll der Opt-Out vorerst durch eine nicht-authentifizierte Nachricht übermittelt werden, erklärte Martin Thomson von Mozilla. Er räumt ein, dass es sich dabei um "eine Notlösung" handelt.

Thomson erklärte zugleich Mozillas Motivation ausführlich [3]: "Vertraulichkeit und Sicherheit der Nutzer dürfen aus unserer Sicht keine Option sein". DNS-Filter, ob gesetzlich vorgeschrieben oder vom Nutzer gewählt, seien kein überzeugendes Argument gegen DoH. Einerseits sei die DNS-Filterung grob. Andererseits ist gerade die damit oft einhergehende Zensur der Grund, DNS-Verkehr zu verschlüsseln und vor den Augen lokaler Zensoren zu verbergen.

Verschlüsselung, die man mit TLS entscheidend vorangebracht habe, gehöre heute zur Hygiene im Netz wie das Zähneputzen im Alltag, und natürlich würden sich auch böse Leute die Zähne putzen, führte Thomson aus. Die Forderung der Gegenseite, den Nutzern die Wahl des Resolver-Betreibers zu überlassen, wischte Thomson vom Tisch: Das ist als würde man den Leuten empfehlen, sich selbst um ihre Abwasserrohre zu kümmern.

Doch aus Sicht der Internet-Service-Provider ergeben sich eine ganze Reihe von DoH-Problemen [4], wie Chris Box von der British Telecom darstellte. Lokales Load-Balancing, Malware-Protection, Captive Portals, Proxies oder CDNs funktionieren mit DoH nicht mehr, erklärte Box. Auch fürchten die Provider, ihren gesetzlichen Verpflichtungen nicht nachkommen zu können. Googles Chrome-Mann Baheux räumte ein: "Eine Technik, die die Sicherheit der Nutzer von 90 auf 95 Prozent erhöht, dabei aber die Strafverfolgung zu 100 Prozent ausschaltet, wird gesellschaftlich schwerlich akzeptiert werden".

Box kam der Gegenseite ebenfalls entgegen. Man sei nicht grundsätzlich gegen DoH, hätte aber von der IETF gerne gewusst, wie die ISPs DoH selbst einsetzen können. Sollte man beispielsweise DoH direkt in die Router der Nutzer einbauen?

Dabei ist das gesamte DoH-Konzept noch nicht fertig. Aktuell arbeitet man an einem Mechanismus, der Browser-Anfragen auf verschiedene DoH-Resolverbetreiber verteilt, um das Erstellen von User-Profilen zu unterbinden. Eine Gruppe von Google- und Cloudflare-Autoren präsentierte einen Vorschlag, wie Webserver den Browsern mitteilen können, welche DoH-Server am besten geeignet sind [5]. Zugleich finalisiert die DoH-Arbeitsgruppe der IETF ein Dokument, das den Browsern und anderen Anwendungen sagen kann, ob ein lokaler oder anderweitig präferierter DoH-Server vorhanden ist [6]. Vertreter von AT&T, British Telecom und Orange hätten gerne zusätzlich eine Arbeitsgruppe, die die Folgen für den Betrieb ihrer Systeme diskutiert und diese abfedert.

Doch in der Hitze des Gefechtes gehen die tieferliegenden Ursachen des Streits schon mal verloren. Eine Grundsatzfrage sprach in der Sitzung der ehemalige IETF-Vorsitzende Jari Arkko an. Die mit dem Mozilla-Modell drohende Konsolidierung schaffe einen Single-Point of Failure und einen echten Honigtopf für Parteien, die an den Daten der Nutzer interessiert sind.

Das DNS besser machen müsse daher das Ziel sein, sagte die ehemalige Vorsitzende des Internet Architecture Board, Leslie Daigle. Während die Befürworter des Webmodells wie Thomson darauf verweisen, dass DNS längst kein Monopol mehr auf Namensauflösung habe, riet Daigle, zunächst die verschobenen Rollen in der sich verändernden Netzarchitektur klar zu benennen: "Das Ganze ist längst keine Frage, die allein das DNS betrifft. Was ist heute ein Service, was ist eine App, was ist Namensauflösung?"

[Update]: 14.08.2019, 13:50: Ein Mozilla-Sprecher ergänzte nach Erscheinen des Beitrags: "Wir haben aktuell keine konkreten Pläne, DNS-over-HTTPS (DoH) in Firefox außerhalb der USA zu implementieren. Derzeit evaluieren wir potenzielle DoH-Partner in Europa, um europäischen Nutzern dieses wichtige Sicherheitsfeature zugänglich zu machen. Nutzer, die es bereits jetzt testen möchten, können es in den Einstellungen aktivieren." (dz [7])


URL dieses Artikels:
http://www.heise.de/-4478673

Links in diesem Artikel:
[1] https://docs.google.com/document/d/15Ss0OaJeb-T3g2RMwgikHvsC0CPKd-MLeGeetv1wYY4/edit#heading=h.5ugemo7p04z9
[2] https://www.heise.de/meldung/Britische-Internetprovider-nominieren-Mozilla-als-Internet-Boesewicht-4464565.html
[3] https://datatracker.ietf.org/meeting/105/materials/slides-105-add-dns-in-applications-one-applications-perspective-00
[4] https://datatracker.ietf.org/meeting/105/materials/slides-105-add-doh-bcp-00
[5] https://tools.ietf.org/html/draft-schinazi-httpbis-doh-preference-hints-00
[6] https://tools.ietf.org/html/draft-ietf-doh-resolver-associated-doh-03
[7] mailto:dz@ct.de