Trusted Recursive Resolver: Kritik an neuer Sicherheitsfunktion für Firefox

Die Missbrauchsmöglichkeiten des Domain Name System (DNS), das als digitales "Telefonbuch fürs Internet" eine zentrale Rolle beim Ansteuern von Web-Adressen spielt, sind groß und vielfältig dokumentiert. Lange dümpelten Mechanismen, die Abhilfe schaffen sollten, vor sich hin. Mittlerweile stehen neue Standards wie DNS over HTTPS (DoH) zur Verfügung, mit denen der Verkehr zur Umwandlung einer URL in eine dahinterstehende IP-Adressen besser abgesichert werden kann. Mozilla ist mit dem Open-Source-Browser Firefox gerade dabei, diese Spezifikation möglichst rasch zu implementieren. Doch Experten warnen vor neuen Angriffsflächen.

So weisen etwa Sicherheitsexperten des Schweizer Open-Source-Dienstleisters Ungleich darauf hin, dass Mozilla mit einem der nächsten Updates für Firefox DoH standardmäßig einführen wolle. Auf die Technik an sich, mit der DNS-Anfragen und -Antworten über das verschlüsselte HTTPS-Protokoll geschickt werden, gehen die Fachleute nicht näher ein. Ihnen stößt aber übel auf, dass Mozilla in dem Browser für die Adressauflösung den DNS-Anbieter Cloudflare als sogenannten Trusted Recursive Resolver (TRR) fest einstellen wolle. Die US-Firma werde damit imstande sein, die DNS-Anfragen aller Firefox-Nutzer zu lesen.

Cloudflare als Unsicherheitsfaktor

Ein solches Verfahren als Angebot anzupreisen, das die Sicherheit erhöhe, sei "irreführend", monieren die Schweizer. Die Lösung mit Cloudflare könne zwar hilfreich sein, wenn man sich etwa in einem öffentlichen WLAN befinde, wo einem im Zweifelsfall ein unbekannter, eventuell kompromittierte DNS-Server untergejubelt und man so auf Phishing-Seiten umgeleitet werden könnte. Für Nutzer jedoch, die sich in einem vertrauenswürdigen Netzwerk befänden und keine größeren Probleme mit ihren angestammten DNS-Auflösungsdiensten hätten, stelle der Datenaustausch mit Cloudflare einen Unsicherheitsfaktor dar.

Der DNS-Anbieter verspreche zwar, alle personenbeziehbaren Informationen aus den übersandten Daten nach 24 Stunden zu löschen, schreiben die Beobachter. Man wisse aber letztlich nie, wo der Verkehr am Ende des Tages lande. Die Kooperation mit Cloudflare biete so einen zentralen Angriff- und Fehlerpunkt. Die Ungleich-Blogger geben zugleich Tipps, wie man DoH komplett abstellen oder den TRR ändern kann.

Noch deutlicher wird Felix von Leitner ("Fefe"): Der Hacker meint in seinem Blog, dass Cloudflare mit der skizzierten Voreinstellung in Firefox und der Kooperation mit Mozilla bald "ganz oben auf der Liste der für die NSA interessanten Firmen" stehen werde. Der US-Geheimdienst werde alles daran setzen, die DNS-Daten dort abzugreifen: Zur Not nicht per Hack sondern per National Security Letter (NSL), einem mächtigen Auskunftswerkzeug für US-Sicherheitsbehörden. Es sei höchst bedauerlich, dass die Firefox-Macher "mit solchen Geschichten weiter Krieg gegen ihre User" führten.

Gefährlichen Zentralisierung

Wann genau DoH mit dem TRR-Dienst von Cloudflare in dem Browser voreingestellt werden soll, hat Mozilla noch nicht festgelegt. Seit Version 60 von Firefox lässt sich DoH über den Dialog about:config bereits manuell einstellen und so testen. Zur Namensauflösung lassen sich dabei auch andere TRR etwa von Google oder CleanBrowsing eintragen.

In Kreisen der Internet Engineering Task Force (IETF), in denen die DoH-Spezifikation vorangetrieben wird, gibt es schon seit einiger Zeit Bedenken wegen einer gefährlichen Zentralisierung etwa durch die Mozilla-Pläne. Damit gingen komplette Surf-Profile an eine US-Firma. Das Konzept sorgt so für heftige Diskussionen, da die wichtige Namensauflösung bald völlig von einer Handvoll Konzerne dominiert werden könnte. Alternativ gibt es auf IETF-Ebene so mittlerweile auch einen Vorschlag für mehr Diversität bei der DoH-Implementierung. So sollen Browser mehrere einschlägige Server und vertrauenswürdige Endpunkte eintragen können. (dbe)