Original-URL des Artikels: https://www.golem.de/news/daniel-stenberg-dns-ueber-https-ist-fuer-endnutzer-1902-139148.html    Veröffentlicht: 03.02.2019 15:40    Kurz-URL: https://glm.io/139148

Daniel Stenberg

DNS über HTTPS ist für Endnutzer

Die Übertragung von DNS-Informationen über HTTPS sei nicht nur sicherer als Alternativen, sondern vor allem gut für den Endnutzer, sagt Curl-Entwickler Daniel Stenberg. Noch seien aber nicht alle Probleme mit der Technik gelöst.

Seit dem Frühjahr 2017 haben die Beteiligten der Internet Engineering Task Force (IETF) den Vorschlag diskutiert, DNS-Informationen über das verschlüsselte HTTPS-Protokoll zu übertragen und dieses als DNS-over-HTTPS (DoH) schließlich im vergangenen Herbst als Internet-Standard veröffentlicht. Der Entwickler Daniel Stenberg ist für große Teile der DoH-Implementierung im Firefox-Browser zuständig gewesen und erklärte auf der Fosdem-Konferenz die Vorteile der Technik. Diese liegen aus Sicht des Entwicklers vor allem beim Endnutzer.

Bisher werden DNS-Anfragen und -Informationen fast ausschließlich unverschlüsselt übertragen und sind damit zumindest theoretisch angreifbar. Alternative Techniken wie DNSSEC, die diese Informationen zwar authentifizieren, aber nicht verschlüsseln, konnten sich im Bereich der Endnutzer darüber hinaus nie durchsetzen.

Bisherige Versuche zum Verschlüsseln von DNS haben darüber hinaus weitere Probleme. So ist etwa DNSCrypt nie bei der IETF standardisiert worden und wird ebenfalls vergleichsweise wenig genutzt. Mit dem Standard DNS-über-TLS habe die IETF zwar nun auch einen verschlüsselten Übertragungsweg standardisiert. Dies wird aber über einen eindeutigen Port abgewickelt, was sich laut Stenberg relativ einfach blocken lässt und so Nutzern im Zweifel auch nicht helfen kann.

DoH läuft dagegen auf den üblichen HTTP-Ports, also 443 oder auch 80, lässt sich damit nicht von normalem Web-Traffic unterscheiden und kann auch nicht über eine Portsperre blockiert werden. Wie erwähnt sind die übertragenen Daten dann aber nicht nur verschlüsselt, sondern durch die Wiederverwendung der TLS-Infrastruktur samt Zertifikaten auch impliziert authentifiziert. Vertraut der Nutzer dem Betreiber des DoH-Endpunkts und dessen Zertifikat, sollte auch den so erhaltenen DNS-Informationen vertraut werden.

Explizites Vertrauen vom Nutzer

Vor allem dieser letztgenannte Punkt ist für Stenberg wohl entscheidend. Denn in der bisher üblichen Konfiguration der Nutzer wird der DNS-Server per DHCP automatisch im System über ein unverschlüsseltes Protokoll zugewiesen. Selbst wenn Nutzer dennoch einen anderen DNS-Server verwenden, geschieht dies in den meisten Fällen eben auch unverschlüsselt und nicht authentifiziert über das alte DNS-Protokoll.

Im Gegensatz dazu können sich Nutzer von DoH explizit für einen selbstgewählten DNS-Endpunkt entscheiden, dem sie vertrauen, was zudem durch das Zertifikat garantiert werden kann. Nutzer haben damit die Möglichkeit zur bewussten Entscheidung für einen vertrauenswürdigen DNS-Server. Das ist so bisher nicht umsetzbar gewesen.

Stenberg, der inzwischen nicht mehr für Mozilla arbeitet, sondern für WolfSSL, ging in seinem Vortrag aber auch auf damit verbundene Risiken und häufig geäußerte Kritik ein. Diese betreffen einerseits technisch-theoretische Überlegungen sowie andererseits praktische Auswirkungen der Verwendung von DoH.

So wird gegen DoH etwa vorgetragen, dass es sich dabei um eine Verletzung des üblichen Protokollstapels handele. Laut Stenberg stimmt das zwar, ist aber wenig relevant. Immerhin setzt DoH schlicht ein neue Idee um. Darüber hinaus wird oft kritisiert, dass DoH zur Zentralisierung der DNS-Infrastruktur beitrage, was laut Stenberg aber nicht stimmt.

Er räumt zwar ein, dass es derzeit mit Google, Cloudflare und nur sehr wenigen anderen Alternativen kaum Server-Anbieter für DoH gebe; das sei aber kein inhärentes Problem von DoH. Wie bisher schon mit DNS könne im Prinzip jeder mit Zugriff auf einen Server auch einen DoH-Endpunkt umsetzen. Einige freie Software stehe dafür schon bereit.

Probleme für Nutzer und Admins

Tatsächliche praktische Probleme ergeben sich im Unterschied zum bisherigen System bei DoH aus dem unterschiedlichen Konzept der Konfiguration durch den Nutzer. So kann bisher etwa im Unternehmenseinsatz über das DNS im eigenen Netz unter einer bestimmten Domain ein anderer Inhalt auf einer anderen IP-Adresse angeboten werden als über öffentliche DNS-Server.

Ebenso könnten Router bisher komplett intern verwaltete Domains auflösen. Ein in Deutschland wohl besonders gut bekanntes Beispiel ist etwa die Domain fritz.box, die AVM auf den gleichnamigen Geräten verwendet. Auch andere Hersteller nutzen ähnliche Techniken. DoH kann diese üblicherweise nicht auflösen, wenn Nutzer Endpunkte außerhalb des internen Netzes zur Namensauflösung nutzen.

Für Nutzer bestehen mit der bisher geringen Auswahl öffentlicher DoH-Server kaum Chancen, sich vor dem Tracking der Anbieter-Firmen zu schützen. Die Nutzung von HTTPS gibt diesen Unternehmen eventuell gar größere Möglichkeiten, Nutzer durch Metadaten zu verfolgen, als dies bisher mit dem alten DNS möglich ist. Das sei zwar ein hoher Preis, so Stenberg, aber eine Abwägung, die dem Nutzer überlassen werden könne. Dieser könne selbst entscheiden, ob und welchem DoH-Server er vertrauen wolle.

An DoH wird weiter gebaut

Laut dem DoH-Unterstützer Stenberg ist die Nutzung des Protokolls selbst noch problembehaftet. Dazu zählen Möglichkeiten zur Überwachung und Erkennung bestimmter Daten aus dem per TLS verschlüsselten Datenverkehr, wie der Server Name Identification (SNI). Das will die IETF aber durch Encrypted SNI künftig ändern.

Darüber hinaus können Nutzer zumindest in den bisher verfügbaren Implementierungen immer nur einen Server zur Namensauflösung nutzen statt mehrere wie mit dem alten DNS. Zudem ist das Auffinden und Nutzen von DoH-Servern bisher noch nicht gelöst. Dafür gibt es in der IETF aber zumindest Überlegungen, wie dies umgesetzt werden könnte.

Das wohl noch größte Hindernis von DoH ist laut Stenberg, dass bisher kaum Clients den Standard unterstützen und nutzen. So unterstützt etwa der Firefox-Browser auch dank Stenberg DoH, die Technik ist aber nicht standardmäßig aktiviert. Im Chrome-Browser gibt es zwar eine DoH-Implementierung, noch ist aber nicht bekannt, ob und wie Chrome-Nutzer diese künftig nutzen können.

Die Diskussion zur Umsetzung einer grafischen Oberfläche für DoH in Chrome ist bisher nicht öffentlich, so dass die Pläne hierzu nicht bekannt sind. Auch die Technik, für den lokalen Systemresolver Antwort per DoH von außen zu bekommen, ist derzeit nicht standardmäßig verfügbar. Bis DoH also überhaupt eine große Nutzerzahl erreichen kann, vergeht wohl noch einige Zeit.  (sg)


Verwandte Artikel:
Hashfunktion: Gits langer Weg zu SHA-256   
(03.02.2019, https://glm.io/139145 )
Open-Source-Unternehmen: Startups sterben, Nextcloud startet neu   
(05.02.2018, https://glm.io/132577 )
Alphabet: App Intra bringt DNS-over-HTTPS auf fast alle Android-Geräte   
(04.10.2018, https://glm.io/136938 )
Mozilla: DNS über HTTPS beschleunigt vor allem langsame Anfragen   
(29.08.2018, https://glm.io/136252 )
IETF: HTTP über Quic wird zu HTTP/3   
(12.11.2018, https://glm.io/137655 )

© 1997–2021 Golem.de, https://www.golem.de/