DNS over HTTPS und die Privatsphäre der Nutzer: Mozilla will nicht nur einen Resolver

Inhaltsverzeichnis

Mozilla und der DNS-Dienstleister Cloudflare arbeiten seit Monaten zusammen, um das verschlüsselnde Protokoll DNS-over-HTTPS voranzutreiben (DoH). Prinzipiell hat DoH genau das gebracht, was man ursprünglich wollte: Dritte können die Surf-Ziele von Internet-Usern nicht mehr einfach so an Backbone-Routern auslesen, weil sie über HTTPS verschlüsselt zum Resolver übertragen werden.

Doch die Auslegung, die Mozilla mit seinem Browser Firefox vorlegt, stößt Kritikern herb auf. Denn Firefox lässt bei aktivem DoH sämtliche Domainauflösungen von Cloudflare erledigen. Auch wenn die Technik in Firefox ab Werk erstmal abgeschaltet ist, halten das Kritiker für unzumutbar. Und der Tag scheint nicht mehr fern, da Mozilla die Funktion ab Werk aktivieren wird. In der Folge könnte Cloudflare als Resolver-Betreiber die dann massenhaft eingehenden DNS-Anfragen nach wirtschaftlich verwertbaren Daten durchforsten und kommerziell ausschöpfen.

Die Kritik nimmt seit einigen Wochen zu. Im Vorfeld des 104. Treffens der Internet Engineering Task Force in Prag hagelte es Kritik aus diversen Richtungen – DoH hat zwar ein Problem gelöst, aber etliche neue heraufbeschworen.

Nun räumte Mozilla immerhin erstmals ein, dass die Konzentration "alles andere als ideal" sei. Und Mozillas CTO, Eric Rescorla, geht noch einen Schritt weiter, indem er in einer E-Mail Änderungen in der Implementierung ankündigt. Das Entgegenkommen hat aber auch Grenzen. ISP- und Telekommunikationsfirmen fordern nämlich, dass Nutzer vor Aktivieren der DoH-Funktion ausdrücklich um Einwilligung gefragt werden. Mozillas CTO hält davon nichts. Das Unternehmen will DoH künftig offenbar für alle Nutzer einsetzen.

Vom Intranet abgeschnitten

Die Auseinandersetzung sorgt auch in der Entwicklergemeinde für hitzige Debatten. Ein weiterer großer Streitpunkt ist die unkoordinierte Verwendung von Resolvern im Internet – bisher befragen die weitaus meisten Anwendungen den Resolver, der in einem lokalen Netz beispielsweise per DHCP vorgegeben ist. Das ist in Firmennetzen ein interner Resolver. Bei manchen Firmen kann der Dienst auch in eine Cloud ausgegliedert sein. Der springende Punkt ist: Genau diese Resolver enthalten die DNS-Einträge, auf die Mitarbeiter angewiesen sind, um firmeninterne Server zu finden. Ein Resolver im Internet kennt sie nicht und soll sie auch nicht kennen. Indem Mozillas Firefox und Googles Chrome die DNS-Auflösung nach draußen geben, schneiden sie Firmenmitarbeiter vom Intranet ab. Zusätzlich hebelt die DNS-Entführung firmeninterne Filter gegen Malware-Sites aus und erleichtert dem externen Resolver-Betreiber das Tracking der Browser-Nutzer.

Selbstverständlich sei sich Mozilla des Problems bewusst gewesen, dem im Web üblichen Tracking Tür und Tor zu öffnen. Aber gerade deshalb habe man Cloudflare strenge Datenschutzbestimmungen auferlegt, nach denen der Partner DNS-Verkehrsdaten innerhalb eines Tages verwerfen muss.

Immerhin für einige Entspannung dürfte sorgen, dass Rescorla in Prag ankündigte, weitere vertrauenswürdige, rekursive Resolver aufzunehmen. Diese müssten denselben Datenschutzbestimmungen entsprechen, die Mozilla mit mit Cloudflare vereinbart hat. Auch könne Mozilla dem eigenen Browser je nach Region unterschiedliche Sets von Resolverbetreibern mitgeben. So könnte Mozilla unterschiedliche lokale Datenschutzbestimmungen berücksichtigen.

Umleitung ab Werk

Browser-Nutzer will Mozilla zwar über DoH und die Umleitung ihrer DNS-Anfragen informieren, aber anders als gefordert, werde es keine Opt-In-Funktion geben, nach der DoH nur nach Zustimmung aktiviert wird. Stattdessen soll es grundsätzlich aktiviert werden und man muss es explizit abschalten, wenn man es nicht wünscht – oder etwa, wenn die Familien-Administratorin davon abrät.

Zu jeder Zeit sollen Nutzer einen beliebigen Resolver oder einen bestimmten aus der Mozilla-Liste wählen können und DoH auch ganz abschalten können. Noch unklar ist, ob auch andere DNS-Verschlüsselungen berücksichtigt werden. Mit der Wahlmöglichkeit will Mozilla darauf eingehen, dass Browser in Unternehmensnetzen den Anschluss ans Intranet verlieren und Blacklist-Filter umgehen.

Aber Rescorla erhebt auch Anspruch darauf, mit der externen DNS-Auflösung Nutzer vor DNS-Manipulationen durch übergriffige Netzwerkprovider und Hotspot-Anbieter in Cafes und Hotels zu schützen. In einer eigens einberufenen Aussprache mit DoH-Kritikern sagte er: "Jemanden, der das Netz kontrolliert, aber nicht Deinen Rechner, betrachten wir als Angreifer".

Die Rechtschaffenheit der Provider

Unterstützung erhielt er unter anderem vom Vertreter der American Civil Liberty Union, Daniel Kahn Gillmor. Der Aufschrei darüber, dass Daten der Nutzer abgegriffen werden, "rührt schlicht daher, dass jetzt jemand anderer die Daten bekommt als der bisher nicht angezweifelte Provider". Als Nutzer in den USA habe man oft keine Wahl bezüglich des Providers. Und Datenschutzbestimmungen wie die DSGVO gebe es in den USA nicht. Kahn Gillmor meint: "Es spricht Bände, dass sich Netzbetreiber ausgerechnet jetzt dafür einsetzen, dass Teilnehmer ihren DNS-Resolver wählen können sollten".

Vertreter von Telekomunternehmen und Cloud-Anbietern begrüßten die Debatte über den Datenschutz. Ob Mozillas aktueller Aufruf dazu führt, dass mehr Provider eigene DoH-Server aufsetzen ist derzeit offen. Aus Sicht klassischer DNS-Provider erhöht das die Komplexität. Wichtig wäre, meint Sara Dickinson von der DNS-Software-Schmiede Sinodun, sich grundsätzlich mit Datenschutz- und Privacy-Bedingungen verschiedener Lösungen auseinanderzusetzen, und zu überlegen, wo die Reise hingehen soll. Konkreter äußert sich der Verein Digitalcourage und rät einmal mehr zur Umgehung der Umgehung. Denn noch ist offen, wie lange es dauert, bis Mozilla weitere Resolver anbieten kann. Erst damit könnte Firefox seine Anfragen so breit streuen, dass das Erstellen von Surf-Profilen kaum noch möglich ist – immer vorausgesetzt, dass die Daten der verschiedenen Resolver-Betreiber nicht gesammelt werden. (dz)