DNS-over-HTTPS (DoH) wurde in der Vergangenheit kontrovers diskutiert. Noch im September will Mozilla DoH nun zum Standard machen und es nach und nach grundsätzlich aktivieren – zunächst aber nur in den USA. Firefox-Nutzer müssen dann keinen Schalter umlegen, sondern profitieren automatisch von verschlüsselten DNS-Abfragen. DoH werde anfangs für einen kleinen Prozentsatz der Nutzer aktiviert. Wenn das problemlos verläuft, "werden wir Bescheid geben, wenn wir für einen hundertprozentigen Einsatz von DoH bereit sind", erklärt Mozilla.

In jüngsten Experimenten habe es laut Mozilla keine Probleme gegeben. DoH standardmäßig zu aktivieren, sei daher der nächste Schritt und könnte eines Tages das herkömmliche DNS großflächig ablösen. Wenn Firefox DoH aktiviert, erhalten die Nutzer einen Hinweis darauf – und die Möglichkeit, es abzuschalten (opt-out).

DoH schützt Privatsphäre

Bei aktiviertem DNS-over-HTTPS verschlüsselt Firefox die DNS-Daten, was die Privatsphäre der Nutzer besser schützt als unverschlüsselte DNS-Abfragen. Allein diese Metadaten lassen nämlich viele Rückschlüsse über Online-Aktivitäten zu. Zudem sind unverschlüsselte DNS-Abfragen durch Man-in-the-Middle-Attacken verwundbar, ein Angreifer kann den Traffic also manipulieren. DoH hingegen schützt vor DNS-Hijacking und Spoofing, zudem lässt sich DoH-Traffic schwer zensieren.

Es gab jedoch lautstarke Kritik, die sich gegen Mozillas Partner Cloudflare richtete, der DoH-DNS-Server betreibt. Firefox ließ bei aktivem DoH sämtliche Domain-Auflösungen von dem Dienst erledigen. Dieser können den Traffic zu Geschäftszwecken analysieren, was die Privatsphäre gefährde, so die Kritiker. Mozilla räumte daraufhin ein, dass die Konzentration "alles andere als ideal" sei. DoH birgt außerdem Gefahren, da es eine bewährte, stabile Infrastruktur weitgehend umkrempelt.

Fallback-Modus für Problemfälle

Mozilla jedenfalls sei nach vielen Experimenten nun soweit, einen verlässlichen Dienst mit guter Performance anbieten zu können. Die Entwickler hätten "wichtige Bereitstellungsprobleme" erkannt und abgemildert, sodass "die meisten Nutzer" von den höheren Schutzmaßnahmen des verschlüsselten DNS-Traffics profitieren würden. Nicht jede Abfrage wird HTTPS nutzen, Mozilla plant einen "Fallback Modus". Wenn irgendwas schiefgeht oder die Heuristiken anschlagen, greift Firefox auf herkömmliche DNS-Abfragen zurück, um die korrekte Adresse zu finden.











Sind Kontrollsysteme für Kinder aktiv, will Firefox diese erkennen und DoH abschalten. Auf diese Weise bleiben Kinder beim Surfen weiterhin geschützt. Auch auf etwaige Enterprise-Policies soll Firefox reagieren und DoH gegebenenfalls deaktivieren. "Wenn eine Unternehmensrichtlinie DoH ausdrücklich zulässt, was wir für großartig fänden, werden wir das auch respektieren", schreibt die Technische Leiterin Selena Deckelmann, die bei Firefox für Privacy und Sicherheit zuständig ist.

70.000 Firefox-Nutzer haben DoH aktiviert

Mozilla arbeitet seit 2017 an DNS-over-HTTPS; seit Juni 2018 laufen erste Experimente im Firefox-Browser. Mit ihnen wollten die Entwickler sicherstellen, dass Performance und Nutzererfahrung stimmen. Das Fazit: DNS-over-HTTPS ist praxistauglich. "Wir sind sehr überrascht und begeistert von den mehr als 70.000 Benutzern, die sich bereits entschieden haben, DoH in Firefox explizit zu aktivieren", schreibt Deckelmann. (dbe)