Firefox Nightly: Mozilla testet DNS über HTTPS

Eine Arbeitsgruppe der Internet Engineering Task Force (IETF) diskutiert seit einiger Zeit die Idee, Informationen des Domain-Name-Systems (DNS) nativ über HTTPS zu übertragen. Passend zum IETF Meeting 101, das zurzeit in London stattfindet, unterstützen aktuelle Nightly-Builds von Firefox die DNS-Auflösung mittels DNS über HTTPS (DoH).

Darauf weist der maßgeblich für die Umsetzung verantwortliche Mozilla-Angestellte Daniel Stenberg auf Twitter hin. Um die Funktion nutzen zu können, müssen interessierte Nutzer bestimmte Optionen in about:config ändern und eine URL eintragen, die DoH unterstützt. Entsprechende Serverdienste werden derzeit von Cloudflare oder auch Google angeboten. Details zur Verwendung finden sich auf Github.

Dem Vorschlag für DoH zufolge sollen explizit nicht die "alten" DNS-Protokolle über einen HTTP-Tunnel genutzt werden, sondern die DNS-Informationen sollen über ein neues standardisiertes Format per HTTP/2 übertragen werden. Laut dem Mozilla-Angestellten und Coautoren des Entwurfs, Patrick McManus, folgen daraus die HTTP2-Vorteile wie Multiplexing und die gute Verschlüsselung direkt für DNS-Informationen.

Experiment als Studie geplant

Um die Auswirkungen und auch die konkrete Implementierung von DoH im Firefox-Browser zu testen, plant das Team derzeit eine sogenannte Shield-Study für die Funktion. Idealerweise soll hierbei DoH für eine Hälfte der Nightly-Nutzer aktiviert werden, die andere Hälfte der Nutzer soll als Kontrollgruppe dienen.

Stellenmarkt

1. Dallmeier electronic, Raum Stuttgart
2. ING-DiBa AG, Nürnberg

Umgesetzt werden soll dafür ein bestimmter Modus, bei dem die DNS-Auflösung per DoH parallel zur bisher üblichen Auflösung durchgeführt wird, um Telemetriedaten hierfür sammeln zu können. Das eigentliche Ergebnis werde aber verworfen und der Browser nutzt weiterhin die herkömmliche Variante der DNS-Auflösung. Als Resolver sollen dabei die Server von Cloudflare dienen.

McManus schreibt dazu: "Wie bei Mozilla üblich, haben wir bei der Default-Interaktion mit einem Drittanbieter-Service eine rechtliche Vereinbarung getroffen, um die Interessen der Datenaufbewahrung, -verwendung, -weitergabe usw. sowohl unserer Nutzer als auch von Mozilla selbst zu wahren".

Auf Nachfragen über die Mailingliste der Entwickler stellt McManus zudem klar: "Für diesen Test bedeutet das, dass der Betreiber keine personenbezogenen Daten (einschließlich IP-Adressen und andere Benutzerkennungen) für sich behält oder verkauft, lizenziert, an Dritte überträgt und die Daten, die er aus diesem Projekt erhält, nicht mit anderen Daten kombiniert. Eine kleine Menge an Daten, die für die Fehlerbehebung des Dienstes benötigt wird, kann maximal 24 Stunden aufbewahrt werden, aber diese Daten sind beschränkt auf den Domainnamen, den DNS-Typ, einen Zeitstempel, einen Antwortcode und den CDN-Knoten, über den der Dienst erfolgt".