Mozilla: DNS über HTTPS beschleunigt vor allem langsame Anfragen

Seit März dieses Jahres lässt sich die DNS-Auflösung mittels DNS über HTTPS (DoH) in der Nightly-Version des Firefox-Browsers von Mozilla nutzen. Der Hersteller hat damit auch ein Experiment verbunden, um die Implementierung und Funktionsweise von DoH in seinem Browser zu testen. Derartige Experimente werden regelmäßig mit den Nightly-Nutzern von Firefox durchgeführt. Mozilla-Entwickler Patrick McManus, der auch maßgeblich an der Standardisierung von DoH bei der Internet Engineering Task Force (IETF) beteiligt ist, stellt die Ergebnisse dieses ersten DoH-Experiments nun im Firefox-Nightly-Blog von Mozilla vor.

Das Experiment ging demnach den Fragen nach, ob die Verwendung eines Cloud-DNS-Dienstes schnell genug läuft, um das traditionelle DNS zu ersetzen und ob dieser Dienst zusätzliche Verbindungsfehler einführt. Zur Untersuchung hat das Team mit Cloudflare als DoH-Serveranbieter zusammengearbeitet und die DNS-Anfragen von 25.000 Nutzern untersucht, die der Teilnahme an dem Experiment zuvor zugestimmt hatten. Dabei seien über eine Milliarde DNS-Verbindungen ausgewertet worden.

Schlechtes DNS wird deutlich schneller

Den nun dargelegten Ergebnissen zufolge seien die meisten DNS-Anfragen per DoH nur rund 6 ms langsamer als das traditionelle DNS. Das seien laut McManus akzeptable Kosten, immerhin werden die Daten bei DoH im Vergleich zum bisherigen DNS abgesichert. Besonders interessant sei jedoch die Erkenntnis, dass die bisher 20 Prozent langsamsten Anfragen teils massiv beschleunigt werden, mitunter sogar um mehrere Hundert Millisekunden, schreibt McManus.

Diese klaren Verbesserungen führt der Entwickler auf die Einheitlichkeit des DoH-Cloud-Dienstes zurück. Beim traditionellen DNS müssten Clients je nach Situation mit sehr vielen unterschiedlichen Resolvern arbeiten, die überlastet sein können, schlecht gepflegt werden oder auch Anfragen an "seltsame Orte" weiterleiten. Darüber hinaus sorgen moderne Techniken von HTTP wie Loss Recovery oder Congestion Control für eine bessere Arbeitsweise von DoH in besonders beschäftigten Netzwerken oder jenen von schlechter Qualität.

Untersucht hat das Team auch den sogenannten Soft-Fail-Modus in Firefox. Hierbei wird auf das traditionelle DNS zurückgegriffen, falls eine DNS-Auflösung per DoH nicht geklappt hat. Eine statistisch signifikante Abweichung zur Fehlerrate bei DoH im Vergleich zum traditionellen DNS konnte das Team so jedoch nicht feststellen.

McManus zeigt sich zufrieden mit diesen Ergebnissen und schließt das Blog damit, dass Mozilla langfristig an einem größeren Ökosystem vertrauenswürdiger DoH-Anbieter arbeiten werde, die den Standards zur Datenverarbeitung von Mozilla gerecht werden. Ebenso arbeite das Team daran, die DNS-Anfragen zwischen verschiedenen Anbietern aufzuteilen, um die Privatsphäre der Nutzer zu schützen oder mit bestimmten regionalen Serveranbietern zusammenzuarbeiten. Dies könnte in künftigen Experimenten getestet werden.

Für Nutzer, die DoH selbst testen wollen, gibt es in den Netzwerkeinstellungen der Nightly-Versionen von Firefox nun auch eine GUI, um dies einzurichten.