Menü
Update
Security

Kommentar zu DNS over HTTPS: Die Gruft DNS gehört ausgelüftet

Das Web ist fast flächendeckend auf HTTPS umgestellt, beim DNS hat sich aber kaum was getan. Gut, dass es DNS over HTTPS gibt, findet Jürgen Schmidt.

Von
vorlesen Drucken Kommentare lesen 410 Beiträge
Kabel an Großrechner

Ein Kommentar von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Chefredakteur von heise Security und verantwortlich für den Bereich Sicherheit bei c't. Von Haus aus Diplom-Physiker, arbeitet er seit über 15 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source.

Es gibt derzeit zwei große Instanzen, die unsere Internet-Infrastruktur entscheidend prägen – insbesondere was Privatsphäre und Sicherheit angeht: das Web und das DNS. Beide beruhten vor fünf Jahren auf nicht authentifizierten, unverschlüsselten Protokollen (HTTP und DNS). Die lassen sich beliebig einfach in großem Stil mitlesen, manipulieren und zensieren. Was auch in großem Stil passierte –und immer noch passiert, wie wir längst wissen.

Als Reaktion auf die Snowden-Enthüllungen haben die treibenden Kräfte des Web (allen voran die Browser-Hersteller) von HTTP auf HTTPS umgestellt. Das war vor fünf Jahren nahezu unvorstellbar, ist aber jetzt weitgehend durch. Alle großen Sites machen es bereits und die wenigen, die noch kein HTTPS können, ziehen demnächst nach. HTTP ist in zwei Jahren praktisch tot. Was wir im Web lesen, anschauen oder hören wird damit dem Zugriff etwa durch staatliche Behörden zum Zweck der Überwachung und Zensur weitgehend entzogen. Das ist ein großer Schritt für die Menschheit.

Fünf Jahre ohne Fortschritt

DNS sieht im Wesentlichen immer noch so aus wie vor fünf Jahren. Alle machen Klartext, das meiste ist nicht oder nur teilweise authentifiziert. Mit DNS wird nach wie vor überwacht, zensiert und manipuliert. Die Chance, dass sich das in den nächsten fünf Jahren ändert, schien verschwindend gering. Denn die treibenden Kräfte arbeiteten sich an DNSSEC ab, das seit über zehn Jahren nicht in die Gänge kommt und nur einen kleinen Teil der Probleme löst (es bleibt immer noch alles Klartext, die letzte Meile bleibt völlig ungesichert). Wenn wir die DNS-Architekten einfach weiterwurschteln lassen, haben wir in weiteren fünf Jahren immer noch keine nennenswerten Fortschritte in Bezug auf Sicherheit und Privatsphäre.

Dafür legen die treibenden Kräfte im Web ein Konzept vor, wie man verschlüsseltes und manipulations-gesichertes DNS für alle machen kann, ohne auf das offensichtlich handlungsunfähige DNS-Lager angewiesen zu sein. Nämlich indem die Teile der Infrastruktur, die sie kontrollieren und die bereits (abhör-)sicher Ende-zu-Ende-verschlüsselt kommunizieren, auch die Namensauflösung machen: Web-Server liefern die benötigten IP-Adressen via HTTPS an die Browser. Der DNS-over-HTTPS-Standard (DoH) wurde in wenigen Monaten durch die IETF-Gremien gebracht. Das ist rekordverdächtig. Mit diesem Konzept gibt es plötzlich eine realistische Perspektive, wie wir vielleicht schon nächstes Jahr an den Internet-Endpunkten verschlüsseltes und manipulations-gesichertes DNS bekommen.

Mehr Dezentralität wagen

Versteht mich nicht falsch: DoH ist noch nicht der Weisheit letzter Schluss. Schließlich ist das Internet mehr als das World Wide Web. Auch Email, Chat & Co benötigen Namensauflösung. Und DoH birgt Gefahren. So krempelt es eine bewährte, stabile Infrastruktur sehr weitgehend um. Besonders besorgniserregend ist der sich abzeichnende Trend zur Zentralisierung. Der in Firefox eingestellte DoH-Server (Mozilla empfiehlt den von Cloudflare, man kann aber auch andere DoH-Server nutzen) sieht zunächst mal alle Web-Sites, die Firefox-Nutzer aufrufen. Er ist auch geradezu prädestiniert, um missliebige Web-Sites aus dem Netz zu klagen und überaus anfällig für staatliche Lausch- und Zensur-Versuche.

Deshalb ist es wichtig, verstärkt auf dezentrale Strukturen hinzuwirken. Dass der Server-Push kurzfristig in den gerade verabschiedeten DoH-Standard aufgenommen wurde, ist da ein gutes Zeichen. Denn diese Funktion ermöglicht es, dass jeder Web-Server die für die Darstellung seiner Seiten benötigten Namen auflöst. Damit liefert etwa der Heise-Server nicht nur das HTML, sondern auch gleich alle IP-Adressen der darin referenzierten Server an den Browser. Der DoH-Server von Cloudflare bleibt dabei komplett außen vor. Und wenn jeder Web-Server auch Namen auflöst, wird Zensur via DNS aussichtslos.

Sollen die Architekten des klassischen DNS doch jammern. Sie hatten viele Jahre Zeit, uns abhör- und manipulationssicheres DNS zu liefern und haben es vergeigt. Jetzt haben Mozilla und Co eine Chance verdient. Hauptsache, es dringt endlich mal Frischluft in diese Gruft namens DNS.

Update 12:40, 26.10.2018: Mozilla wies uns darauf hin, dass derzeit lediglich DoH-Tests liefen und in aktuellen Firefox-Versionen keine Voreinstellung auf Cloudflare-Server implementiert ist. Das haben wir korrigiert und bei der Gelegenheit auch gleich eine Liste alternativer, offener DoH-Server eingefügt. (Jürgen Schmidt) / (axk)