Mozilla zufrieden mit sicherem DNS-Test
Ein Experiment mit DNS over HTTPS brachte nur minimale Performance-Einbußen und beseitigte Performance-Einbrüche – Datenschützer sind trotzdem nicht zufrieden.
Firefox als Roboter, kleine Füchse als Entwickler.
(Bild: Mozilla)
DNS over HTTPS ist praxistauglich – so lautet das Fazit eines Experiments, das Mozilla in den vergangenen drei Monaten mit den Nightly-Versionen von Firefox durchgeführt hat.
Der Domain Name Service kümmert sich um die Auflösung von Domain-Namen in IP-Adressen. DNS ist ein aus den 80er Jahren stammendes eigenständiges Netzprotokoll in der Anwendungsschicht. Es nutzt normalerweise das schnelle Transportverfahren UDP, kann aber auch auf TCP ausweichen.
Die vom DNS gelieferten Daten lassen sich überwachen oder manipulieren – die Bürgerrechtsorganisation Center for Democracy & Technology spricht vom "schwächsten Glied im Internet-Datenschutz". Diese Sicherheitslücke lässt sich durch Verschlüsselung schließen, dafür gibt es unterschiedliche Entwürfe. DNS over HTTPS (DoH) hat die Unterstützung von Google und Cloudflare, die beide Endpunkte dafür anbieten. Ein Vorzug gegenüber konkurrierenden Techniken wie DNS over TLS: Ein Überwacher könnte DNS-Anfragen nicht von verschlüsselten Website-Aufrufen unterscheiden.
Performance-Test mit Firefox Nightly
Mit dem Experiment wollte Mozilla herausfinden, inwieweit die Verschlüsselung und der HTTP-Overhead die Performance des ursprünglich sehr schlanken DNS beeinträchtigt. In zirka 25.000 Nightly-Installationen verwendete Firefox den DoH-Server von Cloudflare als DNS. Die meisten DNS-Anfragen verlangsamten sich tatsächlich – allerdings nur um durchschnittlich 6 Millisekunden, also weit unterhalb der Wahrnehmungsschwelle.
Beim langsamsten Fünftel der DNS-Anfragen hängte Cloudflares DoH allerdings herkömmliches DNS ab, und zwar teilweise um Größenordnungen. Mozilla mutmaßt, dass manche DNS-Server schlecht gepflegt sind und dass HTTPS unter schwierigen Bedingungen mehr Stabilität bietet als das UDP-basierende DNS.
Kritik aus der Open-Source-Szene
Das Firefox-Experiment stößt aber nicht überall auf Begeisterung: So gab es aus der Open-Source-Szene Kritik an der Zentralisierung des DNS. Falls Mozilla plane, in allen Firefox-Installationen Cloudflare als DNS-Dienst einzustellen, würden bei diesem Dienstleister zu viele Informationen zusammenlaufen. Mozilla verweist auf die starke Datenschutzerklärung Cloudflares.
DoH lässt sich auch im regulären Firefox ab Version 62 aktivieren: Dazu muss der Anwender in about:config das Feature anschalten und eine DoH-URL eintragen.
(dbe)
