Die Einführung von DNS über HTTPS (DoH) wird von Technologieunternehmen wie Microsoft, Google und Mozilla vorangetrieben. Diese Methode sichert DNS-Abfragen durch Verschlüsselung ab, was zu einem erhöhten Schutz der Online-Privatsphäre und -Sicherheit führt. Trotz dieser Vorteile gibt es Kontroversen, da Comcast Lobbyarbeit dagegen betreibt. Im Folgenden finden Sie wichtige Informationen zu diesem Thema.
Was genau ist DNS über HTTPS?
Das Internet strebt eine standardmäßige Verschlüsselung an. Die Mehrzahl der Websites, die Sie heutzutage besuchen, verwenden bereits HTTPS-Verschlüsselung. Moderne Browser wie Chrome kennzeichnen Webseiten, die HTTP verwenden, als „nicht sicher“. Das neue HTTP/3-Protokoll beinhaltet eine eingebaute Verschlüsselung.
Diese Verschlüsselung stellt sicher, dass Webseiten während der Anzeige nicht manipuliert werden können und Ihre Online-Aktivitäten nicht ausspioniert werden. Wenn Sie beispielsweise auf Wikipedia.org zugreifen, sieht Ihr Netzbetreiber – egal ob ein öffentlicher WLAN-Hotspot oder Ihr Internetanbieter – lediglich die Verbindung zu Wikipedia.org. Der konkrete Artikel, den Sie gerade lesen, ist nicht einsehbar, und der Inhalt eines Wikipedia-Artikels kann während der Übertragung nicht verändert werden.
Im Zuge der zunehmenden Verschlüsselung ist DNS bisher außen vor geblieben. Das Domain-Name-System (DNS) ermöglicht Verbindungen zu Websites über Domainnamen anstatt numerische IP-Adressen. Wenn Sie google.com eingeben, fragt Ihr System den hinterlegten DNS-Server nach der zugehörigen IP-Adresse, um dann eine Verbindung zu dieser Adresse herzustellen.
Diese DNS-Abfragen erfolgen bisher unverschlüsselt. Bei der Verbindung zu einer Webseite sendet Ihr System eine Anfrage, die die benötigte IP-Adresse für die eingegebene Domain abfragt. Dritte, wie Ihr Internetanbieter oder ein öffentlicher WLAN-Hotspot, könnten protokollieren, mit welchen Domains Sie sich verbinden.
DNS über HTTPS behebt diese Schwachstelle. Hierbei stellt Ihr System eine sichere, verschlüsselte Verbindung zum DNS-Server her, über die die Anfrage und Antwort übertragen werden. Unbefugte Dritte können nicht erkennen, welche Domains Sie anfragen oder die Antwort manipulieren.
Die meisten Internetnutzer verwenden die DNS-Server ihres Internetanbieters. Es gibt jedoch alternative Anbieter wie 1.1.1.1 von Cloudflare, Google Public DNS und OpenDNS. Diese Drittanbieter gehörten zu den ersten, die DNS über HTTPS serverseitig unterstützen. Um DNS über HTTPS nutzen zu können, benötigen Sie sowohl einen entsprechenden DNS-Server als auch ein Client-Gerät (z.B. einen Webbrowser oder ein Betriebssystem), der dies unterstützt.
Wer wird DNS über HTTPS unterstützen?
Google und Mozilla testen DNS über HTTPS bereits in ihren Browsern Chrome und Firefox. Microsoft hat am 17. November 2019 angekündigt, DNS über HTTPS im Windows-Netzwerkstack zu implementieren. Dadurch kann jede Windows-Anwendung von DNS über HTTPS profitieren, ohne dass dafür eine spezielle Programmierung erforderlich ist.
Google kündigte an, dass sie DoH ab Chrome 79 standardmäßig für 1 % der Benutzer aktivieren wollen (voraussichtlich ab dem 10. Dezember 2019). Sie können die Funktion auch unter chrome://flags/#dns-over-https manuell aktivieren.
Mozilla gab bekannt, dass DNS über HTTPS im Laufe des Jahres 2019 für alle Nutzer aktiviert werden soll. In der aktuellen stabilen Firefox-Version können Sie diese Option unter Menü > Einstellungen > Allgemein finden, indem Sie im Bereich „Netzwerk-Einstellungen“ auf „Einstellungen“ klicken und die Option „DNS über HTTPS aktivieren“ auswählen.
Apple hat sich zu seinen Plänen bezüglich DNS über HTTPS noch nicht geäußert, es wird aber erwartet, dass sie die Unterstützung in iOS und macOS zusammen mit den anderen Branchenführern implementieren werden.
Obwohl DNS über HTTPS noch nicht standardmäßig für alle aktiviert ist, wird es, sobald es etabliert ist, die Nutzung des Internets privater und sicherer machen.
Warum betreibt Comcast Lobbyarbeit gegen DNS über HTTPS?
Trotz der Vorteile ist die Angelegenheit nicht unumstritten. Comcast hat im Kongress Lobbyarbeit betrieben, um die Einführung von DNS über HTTPS durch Google zu verhindern.
In einer Präsentation vor Gesetzgebern, die von Motherboard eingesehen wurde, argumentiert Comcast, dass Google „einseitige Pläne“ (zusammen mit Mozilla) verfolgt, um DoH zu aktivieren und „einen Großteil der weltweiten DNS-Daten bei Google zu zentralisieren“, was „eine grundlegende Veränderung in der dezentralen Natur der Internetarchitektur“ bedeuten würde.
Diese Behauptungen sind jedoch weitgehend unzutreffend. Laut Marshell Erwin von Mozilla sind die Folien „extrem irreführend und ungenau“. In einem Blogbeitrag betont Kenji Beaheux, Produktmanager bei Chrome, dass Google Chrome niemanden zwingt, seinen DNS-Anbieter zu wechseln. Chrome respektiert den aktuellen DNS-Anbieter des Systems. Wenn dieser DNS über HTTPS nicht unterstützt, verwendet Chrome es nicht.
Darüber hinaus hat Microsoft die Unterstützung von DoH auf Windows-Betriebssystemebene angekündigt. Angesichts der Unterstützung durch Microsoft, Google und Mozilla handelt es sich kaum um einen „einseitigen“ Ansatz von Google.
Manche vermuten, dass Comcast DoH ablehnt, da sie keine DNS-Lookup-Daten mehr sammeln können. Allerdings hat Comcast versichert, dass sie DNS-Abfragen ihrer Nutzer nicht ausspionieren. Das Unternehmen behauptet, verschlüsseltes DNS zu befürworten, aber eine „gemeinsame, branchenweite Lösung“ anstelle von „einseitigen Maßnahmen“ zu bevorzugen. Die Kommunikation von Comcast ist widersprüchlich – ihre Argumente gegen DNS über HTTPS waren eindeutig an Gesetzgeber gerichtet, nicht an die Öffentlichkeit.
Wie funktioniert DNS über HTTPS?
Abgesehen von den Einwänden von Comcast sollten wir uns ansehen, wie DNS über HTTPS eigentlich funktioniert. Wenn die DoH-Unterstützung in Chrome aktiv ist, verwendet Chrome DNS über HTTPS nur, wenn der aktuelle DNS-Server des Systems dies unterstützt.
Wenn Sie beispielsweise Comcast als Internetanbieter haben und Comcast DoH nicht unterstützt, arbeitet Chrome wie bisher, ohne Ihre DNS-Abfragen zu verschlüsseln. Wenn Sie einen anderen DNS-Server konfiguriert haben (z.B. Cloudflare DNS, Google Public DNS oder OpenDNS), oder wenn die DNS-Server Ihres ISPs DoH unterstützen, verwendet Chrome eine verschlüsselte Verbindung, um mit dem gewählten DNS-Server zu kommunizieren. Nutzer können von DNS-Anbietern ohne DoH, wie z.B. Comcast, wechseln, aber Chrome wird dies nicht automatisch tun.
Dies bedeutet auch, dass bestehende Inhaltsfilterungslösungen, die auf DNS basieren, weiterhin funktionieren. Wenn Sie OpenDNS verwenden und bestimmte Webseiten blockiert haben, bleibt OpenDNS Ihr Standard-DNS-Server und es gibt keine Änderungen.
Firefox geht etwas anders vor. Mozilla hat Cloudflare als Standardanbieter für verschlüsseltes DNS in den USA ausgewählt. Selbst wenn Sie einen anderen DNS-Server eingestellt haben, sendet Firefox Ihre DNS-Abfragen an den 1.1.1.1-DNS-Server von Cloudflare. Diese Funktion kann deaktiviert werden oder ein benutzerdefinierter verschlüsselter DNS-Anbieter eingestellt werden, aber Cloudflare ist die Standardeinstellung.
Microsoft gibt an, dass DNS über HTTPS unter Windows 10 ähnlich wie in Chrome funktioniert. Windows 10 respektiert den ausgewählten DNS-Server und aktiviert DoH nur, wenn der DNS-Server Ihrer Wahl dies unterstützt. Microsoft kündigte jedoch an, dass „datenschutzbewusste Windows-Nutzer und -Administratoren“ zu den DNS-Servereinstellungen geleitet werden.
Windows 10 könnte Sie dazu ermutigen, auf einen DNS-Server mit DoH-Unterstützung umzusteigen, Microsoft wird diesen Wechsel aber nicht automatisch für Sie vornehmen.