Menü

DNS-Verschlüsselung: Britische Lords diskutierten Gefährdung durch DoH

Die Debatte hatte Lady Thornton angestoßen und sich bei ihren Oberhauskollegen vorweg für die etwas "geeky" anmutende Frage entschuldigt.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 82 Beiträge

(Bild: Gorodenkoff / shutterstock.com)

Von

Das neue Protokoll DNS over HTTPS (kurz DoH) hat es schon zu einiger Berühmtheit gebracht. Vergangene Woche diskutierte das britische Oberhaus Nachteile der Auflösung von Domainnamen via Browser. So schnell hat es noch kein Netz-Protokoll ins House of Lords geschafft.

Die Encryption-Debatte hatte Baroness Dorothea Glenys Thornton angestoßen. Die Labour-Vertreterin wollte von der britischen Regierung wissen, ob diese sich um der durch DoH drohenden Gefahren bewusst sei und sich um Gegenmaßnahmen bemühe.

Die DoH-Technik hat die Internet Engineering Task Force (IETF) in der Folge des NSA-Skandals spezifiziert, um das anlasslose massenhafte Erfassen von Meta-Daten und Erstellen von User-Profilen durch Geheimdienstler zu unterbinden. Die herkömmliche DNS-Kommunikation läuft unverschlüsselt ab und lässt sich deshalb leicht etwa an Internet-Austauschpunkten wie dem DE-CIX protokollieren.

DoH und das gleichfalls von der IETF entwickelte DNS-over-TLS (DoT) verschlüsseln die DNS-Kommunikation. Die großen Browser-Hersteller heben deshalb die verbesserte Vertraulichkeit hervor. Umgekehrt können beide Methoden auch die Arbeit von Strafverfolgern erschweren, die bei unverschlüsseltem DNS einfach nur die Hand aufhalten müssen, um Anhaltspunkte für ihre Ermittlungen zu sammeln.

Lady Thornton entschuldige sich bei ihren Oberhauskollegen für die etwas "geeky" anmutende Frage. Doch das neue Protokoll untergrabe Kinderschutzfilter und mache es für Organisationen wie die britische Internet Watch Foundation unmöglich, illegale Inhalte zu bekämpfen.

Dann wurde die Baroness grundsätzlich und nannte es aus ordnungspolitischen Erwägungen kaum akzeptabel, "dass ein obskurer technischer Zirkel, zu dem hauptsächlich große Internet-Firmen ihre
Leute entsenden, Entscheidungen von solch weitreichenden Konsequenzen für die öffentliche Ordnung treffen können". Im übrigen stelle das die jüngst angekündigten Pläne der Regierung in Frage, Providern künftig eine Fürsorgepflicht für Inhalte gesetzlich aufzuerlegen. Die Regierung hatte dazu ein White Paper vorgelegt.

Der das Ministerium für Digitales, Kultur, Medien und Sport vertretende Staatssekretär, Lord Ashton of Hyde, widersprach der Baroness zwar entschieden, was die "Obskurität" der für DoH verantwortlichen Internet Engineering Task Force (IETF) anbelangt. Die IETF sei vielmehr "die dominierende Internet-Standardisierungsorganisation der vergangenen 30 Jahre", so Lord Ashton. Im übrigen mische die britische Regierung bei der IETF durchaus mit und sein Ministerium arbeite mit dem National Cyber Security Center bereits an der Abschätzung von Vor- und Nachteilen von DoH.

Daraus ergebe sich, dass das Filtern schädlicher Inhalte nicht unmöglich, sondern nur komplizierter werde. Die Regierung werde daher über "dramatischere Formen der Durchsetzung" der Inhaltefilterung nachdenken müssen.

Die Aussprache ist Wasser auf die Mühlen der DoH-Gegner. Sie hatten in Debatten innerhalb der IETF bereits gedroht, dass Regierungen auf Einschränkungen freiwilliger Filterung mit staatlicher Filterung antworten könnten.

DoT baut TLS-Verbindungen zu speziellen Resolvern auf und ist noch wenig verbreitet. DoH ist für Browser gedacht und bereits in Firefox und Chrome implementiert. Wenn man die Funktion per Hand aktiviert, verschicken diese Browser HTTPS-verschlüsselte DNS-Anfragen. Beide, DoT und DoH senden ihre Anfragen nicht wie üblich an den DNS-Resolver des Netzbetreibers. Stattdessen lassen sich beliebige, im Internet erreichbare Resolver konfigurieren. Das untergräbt die in Großbritannien vorgesehenen Filter gegen illegale Inhalte, den sie gründen darauf, dass Provider DNS-Anfragen an inkriminierte Domains schlicht nicht beantworten.

Außerdem warnen auch große Netzbetreiber vor DoH, denn die Technik führe zu einer Konzentration von DNS-Daten ausgerechnet bei Riesenplattformen wie Google oder großen DNS-Dienstleistern wie Cloudflare. Mozilla hält dagegen, dass die DoH-Technik im hauseigenen Browser Firefox noch in der Erprobungsphase stecke und dass User später viele verschiedene DNS-Resolver per DoH ansprechen könnten und nicht nur Cloudflare.

Netzwerk-Administratoren kritisieren DoH, weil externe DNS-Resolver firmen-interne Domains nicht kennen und deshalb auch nicht auflösen können. Das ist natürlich gewollt. Nicht gewollt ist aber der Support-Aufwand, den Admins auf sich nehmen müssen, um Mitarbeitern mit DoH-Browsern wieder in den Sattel zu helfen. Immerhin arbeitet die IETF an Konfigurationsmethoden, die interne DNS-Einstellungen berücksichtigen, und Mozilla kündigt an, solche Methoden in Firefox zu implementieren.

(dz)