Mozilla aktiviert umstrittene Verschlüsselung in Firefox
Seit Februar liefert Mozilla immer mehr Installationsarchive des Firefox-Browsers aus, in denen die Verschlüsselung DNS-over-HTTPS (DoH) aktiviert ist. Dafür muss Mozilla heftige Kritik einstecken.
(Bild: David Tran Photo/Shutterstock.com)
- Dusan Zivadinovic
DoH verschlüsselt Teile des Internetverkehrs, der normalerweise im Klartext gesendet wird. Unverschlüsselte Anfragen erleichtern Dritten das Protokollieren besuchter Webseiten, auch wenn es um HTTPS-Webseiten geht. Mozilla betont, dass Firefox der erste Browser sei, der mit aktiviertem DoH ausgeliefert wird und will den Dienst nun schrittweise an alle seine Nutzer in den USA verteilen.
Grundsätzlich muss der Browser alle Domainnamen (z. B. ct.de) von einem DNS-Resolver zur zugehörigen IP-Adresse (z. B. 193.99.144.80) per DNS-Lookup auflösen lassen. DoH verschlüsselt diese Kommunikation und schützt so die Privatsphäre teilweise, sodass etwa Tracking-Netzwerke von Providern nicht mitlesen können. Doch der Betreiber des Resolvers sieht weiterhin, welche Seite man geöffnet hat. In der Voreinstellung nutzt Firefox die Resolver von Cloudflare. Alternativ kann man NextDNS per Menü wählen oder die Adresse eines beliebigen DoH-Servers eintragen.
Kein perfekter Schutz für die Privatsphäre
Strafverfolger und Sicherheitsexperten lehnen DoH ab, denn die Technik hebelt Domainfilter aus. Administratoren sind gegen DoH, weil Browser damit firmeninterne Server nicht finden, was den Support-Aufwand erhöht. Und anders als es Mozilla darstellt, liefert DoH nicht den perfekten Privatsphärenschutz. Es verschlüsselt nur den Verkehr mit dem Resolver, nicht aber die Anfragen, die dieser an das weltweite Domain Name System stellt. Und schließlich sehen Provider nach wie vor, welche IP-Addressen ihre Nutzer ansteuern. Mozilla verspricht nun, DoH zu deaktivieren, wenn Firefox im LAN einen Kinderschutzfilter findet. Auch soll Firefox DoH in Enterprise-Umgebungen automatisch deaktivieren. Jedoch kann DoH auch in kleinen Netzen stören, wenn man einen internen DNS-Server betreibt, beispielsweise Pi-Hole. Und schließlich lässt sich DoH auch außerhalb der USA nutzen, einfach, indem man die Funktion per Hand aktiviert. Je nach Sachkenntnis eines Nutzers kann DoH dann hilfreich oder störend sein.
Dieser Artikel stammt aus c't 7/2020.
(dz)
