IETF: DNS über HTTPS wird zum Standard

Die neue DNS-over-HTTPS-Spezifikation (DoH) ist praktisch fertig. Noch bis Herbst kann es dauern, bis DoH von der Internet Engineering Task Force als Request for Comment publiziert und damit offiziell zum Standard erhoben wird. Browser wie Mozilla und Google haben längst mit der Implementierung der Technik begonnen, die die klassischen DNS-Resolver in Zukunft an den Rand drängen könnte. Beim IETF-Treffen in Montreal wurden nächste Schritte diskutiert.

Gefährliche Zentralisierung

Nur rekordverdächtige eineinhalb Jahre hat die DoH-Arbeitsgruppe gebraucht, um die Einbettung von DNS-Anfragen in HTTPS-Streams zu spezifizieren. Jetzt steht die Frage an, wie man DoH weiter verwenden will: Zentralisiert oder dezentral. Mozilla ist vorgeprescht und hat nicht nur DoH bereits in Firefox eingebaut, sondern angekündigt, dass man darauf hinarbeite, alle DNS-Anfragen an Cloudflares DoH-Server zu senden.

Das bringt zwar einen gewissen Gewinn an Vertraulichkeit, weil es das Mitlauschen auf der Leitung durch die HTTPS-Verschlüsselung verhindert. Aber es liefert komplette Surf-Profile bei einem amerikanischen Konzern ab. Zwar ließ sich Mozilla vertraglich zusichern, dass Cloudflare alle Anfragen der Mozilla-Nutzer sofort wieder verwerfen muss. Die Vertraulichkeit für die Nutzer bleibe so gewahrt. Trotzdem sorgt das Konzept für heftige Diskussionen. Die Vorstellung, dass demnächst dann Chrome die Namensauflösung zentral über den von Google bereitgestellten Nameserver 8.8.8.8 abwickelt, ist vielen Experten alles andere als geheuer. Manch einer befürchtet, dass die so wichtige Namensauflösung bald komplett von einigen wenigen Großkonzernen dominiert werden könnte.

Dezentrales DoH

Doch DNS over HTTPS eröffnet auch die Möglichkeit einer dezentralen Namensauflösung, bei der jeder Web-Server auch DNS-Informationen bereit stellt (die er selbst über herkömmliches DNS/DNSSEC bezieht). So könnte etwa der Heise-Server – oder natürlich auch Google und jeder andere Web-Server – beim Abruf einer Web-Seite via HTTPS zusätzlich auch gleich alle IP-Adressen der referenzierten Server mitliefern. Der Browser benötigt dann den voreingestellten DNS-Server nur noch zu Beginn einer Surf-Sitzung für den ersten Server.

Die Betreiber des Web/DoH-Servers erhalten keine Zusatzinformationen, welche der bereitgestellten DNS-Informationen der Client tatsächlich nutzt – Privacy ist also gewährleistet. Und die DNS-Informationen aus dem HTTPS-Datenstrom herauszufiltern und selektiv zu blockieren, ist kaum mehr sinnvoll möglich. DNS-basierte Zensur wäre nur über das Verbot der Namensauflösung realisierbar. Doch solange ein Webseiten-Betreiber wie Heise einen Link setzen darf, kann man ihm schwer verbieten, auch die benötigte IP-Adresse dazu zu liefern.

Bei der IETF werden solche Szenarien derzeit als "Resolver-less name resolution" diskutiert. Allerdings ist diese Diskussion noch ganz am Anfang. Es besteht also die Gefahr, dass das bereits funktionierende, zentralisierte DoH-Konzept mit Cloudflare und Google Fakten schafft, bevor das dezentrale in die Gänge kommt.

Die Funktionsweise der verschlüsselten Kommunikation via DNS over HTTPS und DNS over TLS erklärt der c't-Artikel: DNS mit Privacy und Security vor dem Durchbruch (ju)