Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

DNS-Verschlüsselung: Britische Lords diskutierten Gefährdung durch DoH

Die Debatte hatte Lady Thornton angestoßen und sich bei ihren Oberhauskollegen vorweg für die etwas "geeky" anmutende Frage entschuldigt.

In Pocket speichern vorlesen Druckansicht 82 Kommentare lesen
DNS-Verschlüsselung: Britische Lords diskutierten Gefährdung durch DoH

(Bild: Gorodenkoff / shutterstock.com)

Lesezeit: 4 Min.
Von
  • Monika Ermert
  • Dusan Zivadinovic
Inhaltsverzeichnis

Das neue Protokoll DNS over HTTPS (kurz DoH) hat es schon zu einiger Berühmtheit gebracht. Vergangene Woche diskutierte das britische Oberhaus Nachteile der Auflösung von Domainnamen via Browser. So schnell hat es noch kein Netz-Protokoll ins House of Lords geschafft.

Die Encryption-Debatte hatte Baroness Dorothea Glenys Thornton angestoßen. Die Labour-Vertreterin wollte von der britischen Regierung wissen, ob diese sich um der durch DoH drohenden Gefahren bewusst sei und sich um Gegenmaßnahmen bemühe.

Die DoH-Technik hat die Internet Engineering Task Force (IETF) in der Folge des NSA-Skandals spezifiziert, um das anlasslose massenhafte Erfassen von Meta-Daten und Erstellen von User-Profilen durch Geheimdienstler zu unterbinden. Die herkömmliche DNS-Kommunikation läuft unverschlüsselt ab und lässt sich deshalb leicht etwa an Internet-Austauschpunkten wie dem DE-CIX protokollieren.

DoH und das gleichfalls von der IETF entwickelte DNS-over-TLS (DoT) verschlüsseln die DNS-Kommunikation. Die großen Browser-Hersteller heben deshalb die verbesserte Vertraulichkeit hervor. Umgekehrt können beide Methoden auch die Arbeit von Strafverfolgern erschweren, die bei unverschlüsseltem DNS einfach nur die Hand aufhalten müssen, um Anhaltspunkte für ihre Ermittlungen zu sammeln.

Geeky anmutende Frage

Lady Thornton entschuldige sich bei ihren Oberhauskollegen für die etwas "geeky" anmutende Frage. Doch das neue Protokoll untergrabe Kinderschutzfilter und mache es für Organisationen wie die britische Internet Watch Foundation unmöglich, illegale Inhalte zu bekämpfen.

Dann wurde die Baroness grundsätzlich und nannte es aus ordnungspolitischen Erwägungen kaum akzeptabel, "dass ein obskurer technischer Zirkel, zu dem hauptsächlich große Internet-Firmen ihre
Leute entsenden, Entscheidungen von solch weitreichenden Konsequenzen für die öffentliche Ordnung treffen können". Im übrigen stelle das die jüngst angekündigten Pläne der Regierung in Frage, Providern künftig eine Fürsorgepflicht für Inhalte gesetzlich aufzuerlegen. Die Regierung hatte dazu ein White Paper vorgelegt.

Der das Ministerium für Digitales, Kultur, Medien und Sport vertretende Staatssekretär, Lord Ashton of Hyde, widersprach der Baroness zwar entschieden, was die "Obskurität" der für DoH verantwortlichen Internet Engineering Task Force (IETF) anbelangt. Die IETF sei vielmehr "die dominierende Internet-Standardisierungsorganisation der vergangenen 30 Jahre", so Lord Ashton. Im übrigen mische die britische Regierung bei der IETF durchaus mit und sein Ministerium arbeite mit dem National Cyber Security Center bereits an der Abschätzung von Vor- und Nachteilen von DoH.

Dramatischere Formen der Durchsetzung

Daraus ergebe sich, dass das Filtern schädlicher Inhalte nicht unmöglich, sondern nur komplizierter werde. Die Regierung werde daher über "dramatischere Formen der Durchsetzung" der Inhaltefilterung nachdenken müssen.

Die Aussprache ist Wasser auf die Mühlen der DoH-Gegner. Sie hatten in Debatten innerhalb der IETF bereits gedroht, dass Regierungen auf Einschränkungen freiwilliger Filterung mit staatlicher Filterung antworten könnten.

DoT baut TLS-Verbindungen zu speziellen Resolvern auf und ist noch wenig verbreitet. DoH ist für Browser gedacht und bereits in Firefox und Chrome implementiert. Wenn man die Funktion per Hand aktiviert, verschicken diese Browser HTTPS-verschlüsselte DNS-Anfragen. Beide, DoT und DoH senden ihre Anfragen nicht wie üblich an den DNS-Resolver des Netzbetreibers. Stattdessen lassen sich beliebige, im Internet erreichbare Resolver konfigurieren. Das untergräbt die in Großbritannien vorgesehenen Filter gegen illegale Inhalte, den sie gründen darauf, dass Provider DNS-Anfragen an inkriminierte Domains schlicht nicht beantworten.

Alte Probleme zu Gunsten von neuen gelöst

Außerdem warnen auch große Netzbetreiber vor DoH, denn die Technik führe zu einer Konzentration von DNS-Daten ausgerechnet bei Riesenplattformen wie Google oder großen DNS-Dienstleistern wie Cloudflare. Mozilla hält dagegen, dass die DoH-Technik im hauseigenen Browser Firefox noch in der Erprobungsphase stecke und dass User später viele verschiedene DNS-Resolver per DoH ansprechen könnten und nicht nur Cloudflare.

Netzwerk-Administratoren kritisieren DoH, weil externe DNS-Resolver firmen-interne Domains nicht kennen und deshalb auch nicht auflösen können. Das ist natürlich gewollt. Nicht gewollt ist aber der Support-Aufwand, den Admins auf sich nehmen müssen, um Mitarbeitern mit DoH-Browsern wieder in den Sattel zu helfen. Immerhin arbeitet die IETF an Konfigurationsmethoden, die interne DNS-Einstellungen berücksichtigen, und Mozilla kündigt an, solche Methoden in Firefox zu implementieren.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(dz)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten