Firefox: Wie Mozilla DNS über HTTPS ausrollen will

Das Protokoll DNS über HTTPS (DoH) soll DNS-Anfragen von Nutzern durch Verschlüsselung besser absichern. Der bei Mozilla für den Firefox-Browser zuständige Technikchef Erik Rescorla legt nun auf einer Mailing-Liste der Internet Engineering Task Force (IETF) noch einmal detailliert dar, wie das Unternehmen das umsetzen möchte. Demnach will Mozilla die Verwendung der Technik im Firefox zunächst mit einer kleinen Gruppe von Partnern nutzen, die sich an bestimmte Datenschutzrichtlinien zum Schutz der Nutzer halten müssen.

Schon jetzt kooperiert Mozilla für seine DoH-Experimente mit Cloudflare als Anbieter eines sogenannten Trusted Recursive Resolvers (TRR) zur Namensauflösung unter solch einer Vereinbarung. Die finale Richtlinie ist zwar laut Rescorla noch nicht fertig, wird sich wohl aber an der bestehenden Vereinbarung mit Cloudflare orientieren.

Nutzer sollen klar informiert werden

Darüber hinaus hat das Team bei Mozilla aber noch nicht entschieden, wie genau die TRRs im Firefox genutzt werden sollen. Nach Angaben von Rescorla werden jedoch Kopien des Firefox mit unterschiedliche Konfigurationen von DoH verteilt, was etwa von der Region abhängen kann. So werden einige Nutzer wohl standardmäßig DoH verwenden, andere aber nicht.

Auf jeden Fall sollen die Nutzer aber über die standardmäßige Verwendung von DoH im Firefox informiert werden und weiter die Möglichkeit haben, die Technik abzuschalten. Einzelne Firefox-Instanzen werden darüber hinaus genau einen der TRR aus der vorkonfigurierten Liste auswählen und diesen dann standardmäßig verwenden. Die Anwender sollen aber jederzeit die Möglichkeit haben, einen anderen Resolver aus der Liste auszuwählen, ihren eigenen Resolver festzulegen oder DoH auch zu deaktivieren.

Ausnahmen zur Standardliste in Vorbereitung

Mozilla plant jedoch zwei generelle Ausnahmen von seinem Vorgehen. So soll in jenen Fällen, in denen der Firefox-Browser durch das eigene Netzwerk kontrolliert wird, etwa über MDN, auch der Resolver durch das Netzwerk festgelegt werden können oder DoH auch deaktiviert werden können.

Darüber hinaus möchte Mozilla gemeinsam mit den Betreibern von DNS-Resolvern daran arbeiten, die vorkonfigurierte Liste der TRR zu vergrößern und auch ein Protokoll standardisieren, das einen Wechsel vom bisherigen System-DNS-Resolver auf dessen DoH-Angebot ermöglicht.

Bekommt ein Nutzer also etwa wie bisher üblich von seinem ISP einen Resolver zugewiesen, den das Betriebssystem nutzt, soll der Firefox-Browser diesen Resolver dann einfach per DoH ansprechen und verwenden. Das setzt aber voraus, dass das DoH-Protokoll großflächig ausgerollt wird.

Noch kann Rescorla allerdings keinen Zeitplan dafür nennen, wann DoH standardmäßig genutzt werden soll. Das Team hat zuvor noch einige Probleme zu lösen. Das wohl wichtigste ist der sogenannte Split Horizon, also jene Situation, in der die für eine Domain öffentlich vergebene IP-Adresse von der im lokalen Netzwerk vergebenen Adresse abweicht.