Die Verschlüsselung der Datenübertragung hat in den vergangenen Jahren massive Fortschritte gemacht: Der allergrößte Teil sämtlicher weltweit im Einsatz befindlichen Webseiten hat mittlerweile auf HTTPS gewechselt. Das ist aus Nutzersicht nicht zuletzt deswegen wichtig, um einer massenhaften Überwachung des gesamten Internetverkehrs, aber auch einer Manipulation der Inhalte am Transportweg entgegenzuwirken. Und doch gibt es noch andere Möglichkeiten, mit denen Außenstehende Einblick in die Internetaktivitäten der User bekommen – eine davon will Browserhersteller Mozilla nun schließen.

Es ist Zeit für DoH

Mozilla hat damit begonnen, DNS over HTTPS (DoH) von Haus aus zu aktivieren. Im Verlauf der kommenden Wochen sollen zunächst einmal sämtliche Firefox-User in den USA zusätzlich geschützt werden. Anschließend wolle man sich anderen Regionen widmen, heißt es in einem Blogeintrag.

Bei DoH werden die Anfragen zur Namensauflösung im Internet verschlüsselt. Diese sind notwendig, um zu wissen, welche numerische IP-Adresse hinter einem Domainnamen (also etwa derstandard.at) steht. Bisher wurden solche Anfragen im Klartext verschickt, was es jedem mit Zugriff auf die Datenleitung ermöglichte, zu sehen, welche Seiten die Nutzer besuchen.

Kontroverse

Bei den Providern ist DoH entsprechend äußerst unbeliebt. So hatte sich ein britischer Providerverband vor einigen Monaten gar dazu verstiegen, Mozilla wegen seiner DoH-Pläne als "Internetbösewicht" zu brandmarken. Die Verschlüsselung der DNS-Anfragen würde etwa Kinderschutzfilter, aber auch die Suche nach Schadsoftware erschweren. Dem halten Experten wiederum entgegen, dass es ohnehin eine sehr schlechte Idee sei, solche Aufgaben am Datenweg zu erledigen. So etwas sei am Endgerät der Nutzer viel besser aufgehoben – und da werde es auch weiterhin gehen.

Doch DoH ist auch sonst nicht unumstritten, vor allem was die konkrete Implementation bei Mozilla betrifft, arbeitet man doch dafür mit Cloudflare zusammen, womit erst recht wieder ein großes IT-Unternehmen Einblick in die Aktivitäten der User erhalte – so der Vorwurf. Cloudflare betont zwar, dass man keinerlei Einblick in diese Daten nimmt und sie auch nicht speichert, bei manchen Nutzern blieb aber trotzdem ein Unbehagen. Immerhin werden damit DNS-Abfragen von Firefox-Usern sogar noch zentralisiert, für staatliche Überwacher oder Hacker potenziell ein gefundenes Fressen. Mozilla reagierte auf die Kritik, indem mit NextDNS nun noch eine zweite Option als DoH-Provider zur Verfügung steht.

Alternativen

Andere wiederum hegen Zweifel daran, dass DNS over HTTPS überhaupt die korrekte technische Lösung ist. Immerhin übernimmt damit der Browser Aufgaben, die eigentlich auf Betriebssystemebene abgewickelt werden sollten. Und dort gibt es mit DNS over TLS schon eine ähnliche Lösung. Bei Google testet man derzeit übrigens auch DoH, Chrome verwendet aber einen etwas anderen Ansatz: Hier wird erst dann automatisch auf den verschlüsselten Dienst gewechselt, sobald der genutzte DNS-Anbieter einen solchen betreibt. Damit haben dann zwar die Provider weiter Einblick, alle anderen aber nicht mehr. Allerdings kann auch manuell auf DoH-Anbieter wie Cloudflare, Open DNS, Quad9 oder auch Google selbst gewechselt werden, womit dann auch die Provider wieder ausgesperrt werden. (apo, 26.2.2020)