FOSDEM: Zu viel Klartext in unseren Netzen
Der Entwickler des Allzweckwerkzeugs Curl will mit DNS über HTTPS allen Internet-Nutzern endlich zu abhörsicheren DNS-Anfragen verhelfen.
Daniel Stenberg ist nach Brüssel gekommen, um den Besuchern der Open-Source-Konferenz FOSDEM nahezulegen, ihre DNS-Anfragen nicht mehr im Klartext zu verschicken. Und er läutet gleich zu Anfang kräftig die Alarmglocken: Die Architektur, über die unsere Geräte IP-Adressen beziehen und Domain-Namen auflösen ist weit über dreißig Jahre alt und lange nicht mehr zeitgemäß, so der Curl-Chefentwickler. Das sei weitläufig bekannt, aber es werde allerhöchste Zeit, dass sich das ändere, sagt Stenberg. In unseren Netzwerken fliege viel zu viel Klartext herum. Mit DNS over HTTPS (DoH) in Firefox, Chrome und Curl will er das ändern.
Bei herkömmlichem DHCP und DNS werden Anfragen nach einer IP-Adresse im lokalen Netz oder nach IP-Adressen externer Domains mit Klartext beantwortet. Jeder im Netzwerk kann mithören, welche Websites die anderen Systeme im LAN aufrufen. Stenberg hat sich zur Aufgabe gemacht, das bei Domainanfragen zu ändern. Bei DNS over HTTPS werden Anfragen der Clients und die Antworten der Server verschlüsselt übertragen, so dass niemand außer dem Server weiß, welche Website der Nutzer besuchen möchte. Auch Server untereinander kommunizieren verschlüsselt. Da das Protokoll allerdings bisher nicht in Betriebssysteme Einzug gehalten hat, muss der Nutzer es in den Programmen konfigurieren, die er nutzt – etwa in Firefox
Jede Technik hat ihre Gegner
DNS over HTTPS ist nicht ohne Gegner. Manche von Stenbergs Entwicklerkollegen sind der Meinung, dass es sich bei DoH um eine Verletzung der natürlichen Protokoll-Ordnung handelt und dass man DNS-Anfragen nicht über HTTPS übertragen sollte. Außerdem kritisieren sie die zentralisierte Infrastruktur der aktuellen Umsetzung. Mozilla arbeitet bei DoH in Firefox zum Beispiel mit Cloudflare zusammen, eine Firma, der viele Mitglieder der Open-Source-Community skeptisch gegenüberstehen. Stenberg entgegnet, dass man DNS over HTTPS nicht zentralistisch aufbauen müsse und es jedem freigestellt sei, die Cloudflare-Server zu benutzen oder auch nicht. Ebenso sei es möglich, eine eigene DoH-Implementierung zu entwickeln. Das läge in den Händen der Admins, die in ihren Organisationen und Firmen DNS-Server betreiben.
Manche dieser Admins wehren sich gegen DoH, da es die Diagnose von Netzwerkproblemen erschwere und neue technische Support-Probleme erzeuge. Das sei aber kein Grund, die Privatsphäre der Nutzer zur vernachlässigen. Die sei wichtiger als ein leicht gesteigerter Support-Aufwand der Admins, mein Stenberg.
DNS ĂĽber TLS oder HTTPS?
Im Vergleich zur konkurrierenden Technik DNS over TLS nutzt DNS over HTTPS den ganz normalen HTTPS-Port 443 und ist deswegen schwerer zu blockieren. Außerdem wird DoH nicht vom System konfiguriert, sondern vom Nutzer. Stenberg sieht das als Vorteil, da die Kontrolle über die Privatsphäre des Nutzers beim Nutzer selber liegen sollte. Es sei keine Technik für Firmen oder Organisationen, sondern für Nutzer, die sich sicher sein wollen, woher ihre Domain-Auflösung komme und dass auf dem Weg niemand mithört. DoH sei außerdem keine Konkurrenz zu DNSSEC, welches die Vertrauenswürdigkeit des DNS-Servers und der übertragenen Daten sicherstellt, diese aber nicht gegen Spionage schützt. Stattdessen sollten Nutzer DNS over HTTPS und DNSSEC zusammen einsetzen – die Techniken würden sich sehr gut ergänzen, so Stenberg.
Fünf Jahre nach Snowden sei es endlich an der Zeit, den ganzen Klartext aus unseren Netzen zu verbannen. Transportverschlüsselung im eigenen Netz sei dabei nur ein Schritt, auch in lokalen Netzen sollten sich Entwickler und Admins endlich Mühe geben, dieses Problem zu lösen. Das, so Stenberg, sei auch der Grund für seinen Vortrag auf der FOSDEM: Hier säßen die Entwickler und die Admins, also Hacker, welche die operative Verantwortung für Firmen-, Bildungs- und Regierungsnetze hätten. "Wenn ich euch auf meine Seite bekomme", so der Entwickler, "dann können wir das zusammen schaffen." Der nächste Schritt sei nun, DNS-Server zu vertrauenswürdigen Auskunftspunkten über ihre Domains zu machen und so zu allgemein vertrauenswürdigen DNS-Diensten in allen Netzen zu gelangen. (tiw)