DoH-Standard: DNS über HTTPS ist besser als sein Ruf

Um das von der Internet Engineering Task Force (IETF) standardisierte Protokoll DNS over HTTPS ist ein öffentlicher Streit entbrannt, der weit über eine sachliche Auseinandersetzung hinausgeht. Jüngste Beispiele sind etwa von Medien verbreitete Falschmeldungen zu DoH und die später zurückgenommen Nominierung des Browserherstellers Mozilla als "Internetschurken". Oft basieren solche Äußerungen auf Unkenntnis. Wir haben uns die am häufigsten vorgetragenen Kritikpunkte an DoH genauer angeschaut.

Die wohl wichtigsten betreffen die Funktionsweise von DoH selbst. Hier wird oft behauptet, dass DoH nichts mehr mit dem DNS-Protokoll gemein habe und viel komplexer sei als das inzwischen mehr als 30 Jahre alte Original. Das stimmt so jedoch nicht, was ein Blick in den Standard (RFC 8484) schnell zeigt.

Dort wird ganz klar festgelegt, dass der Standard - wie der Name sagt - DNS-Anfragen und -Antworten nach dem Originalstandard (RFC 1035) per HTTPS überträgt. Die DNS-Information wird bei DoH schlicht per HTTP getunnelt und nicht wie bisher üblich über UDP (User Datagram Protocol) transportiert. Diese neue Art Transportweg für das sogenannte Wireformat können auch bestehende DNS-Clients oder Webanwendungen einfach weiterbenutzen.

Ein gängiges Missverständnis zu DoH ist in diesem Zusammenhang die Annahme, DoH würde nicht wie beschrieben das DNS-Format benutzen, sondern JSON. Dabei handelt es sich wohl um eine Verwechslung - Google bietet solch einen Dienst an. Standardisiert ist das JSON-API für DNS aber nicht und auch Google trennt dieses Angebot klar von dem ebenfalls bestehenden DoH-Endpunkt.

Bekanntes wiederverwenden

Da DoH direkt auf dem alten DNS-Format aufbaut, wird auch klar, warum das Protokoll - anders als oft behauptet - nicht sehr viel mehr Komplexität bedeutet. Denn zusätzlich zu dem bisherigen DNS werden auch die seit Jahrzehnten bekannten und erprobten Protokolle HTTP zur Übertragung und TLS zur Verschlüsselung wiederverwendet.

Fast jede Programmiersprache bietet die Verwendung dieser Protokolle inzwischen standardmäßig als Teil ihrer Bibliotheken an. Und falls dies nicht der Fall sein sollte, gibt es für Entwickler immer noch das Multifunktionswerkzeug zur Dateiübertragung Curl. Die gesamte DoH-Implementierung in Curl umfasst inklusive Dokumentation und Tests lediglich 1.500 Zeilen Code. Auch die DoH-Implementierung der für die Android- und Java-Entwicklung vielgenutzten Bibliothek OkHTTP ist ähnlich klein.

Ein Standalone-Client zur Namensauflösung, der auf dem Curl-Code basiert und die DNS-Records selbst parst, umfasst ebenfalls weniger als 1.000 Zeilen Code. Bestehende Anwendungen, die den Umgang mit den DNS-Angaben beherrschen, müssen zur DoH-Unterstützung also eigentlich nur den genutzten Transportweg ändern.

Natürlich lässt sich hier einwenden, dass DoH-Implementierungen etwa in Browsern noch deutlich mehr Funktionen bieten und damit auch deutlich mehr Code umfassen. Anwendungen, die aber mit dem alten Protokoll DNS-Informationen selbst verarbeiten, cachen, weiterleiten oder Nutzern Möglichkeiten zur Konfiguration bieten, sind auch schon jetzt logischerweise größer als eine Minimalimplementierung von DNS. Derartige Zusatzfunktionen dem DoH-Protokoll anzulasten, ist nicht sinnvoll.

Darüber hinaus gibt es durch die Abkehr von DNS über UDP und die Zuwendung zu DoH sehr viele Vorteile, die das DNS-System dank HTTP einfach dazugewinnt: Dazu gehören etwa ein Proxy-Support oder auch das Multiplexing und der Server-Push von HTTP2. Der an der DoH-Standardisierung beteiligten Patrick McManus zählt einige weitere Vorteile in diesem Bereich auf.

Der dabei wohl wichtigste Punkt von McManus ist, dass mit HTTP/3, das auf dem kommenden Quic-Protokoll basiert, auch DoH schlicht auf Quic wechseln kann. Um all diese Eigenschaften auch mit dem bestehenden DNS-System umzusetzen, müsste ebenso sehr viel mehr Code erstellt werden als bisher.

Neben diesen Fragen zu den technischen Eigenheiten des Protokolls selbst gibt es auch unzureichend durchdachte Kritik an der Idee und Umsetzung von DoH.