Privatsphäre schützen: DNS über HTTPS in Firefox aktivieren

Mit der Verschlüsselung von DNS-Abfragen bietet Firefox eine interessante Option zum Schutz der Privatsphäre. Für eine zuverlässige Nutzung von DNS over HTTPS muss man jedoch einige zusätzliche Einstellungen vornehmen.

Das Domain Name System (DNS) ist einer der wichtigsten Dienste im Internet. Es fungiert quasi als Telefonbuch, indem es Nutzeranfragen wie www.zdnet.de in eine IP-Adresse übersetzt. Nur damit kommt die Verbindung zum gewünschten Server zustande. Ohne DNS müssten Nutzer zum Verbindungsaufbau im Browser die IP-Adresse des jeweiligen Servers eingeben.

Firefox (Bild: Mozilla)Allerdings verraten unverschlüsselte DNS-Abfragen sehr viel über die Nutzer. Es ist sehr einfach, ein Bild von einer Person zu gewinnen, wenn man weiß, welche Server im Internet sie oder er besucht. Eine unverschlüsselte Abfrage zu einem DNS-Server sorgt dafür, dass der DNS-Server als ständiger Begleiter sehr gut über unsere Online-Aktivitäten informiert ist. Zumal dann, wenn, wie in den meisten Fällen, diese Abfragen auch noch protokolliert werden. Über diese „Kraft der Metadaten“ stolperte selbst Ex-CIA-Direktor Patraeus, dessen außereheliche Affäre durch die Analyse von Metadaten öffentlich wurde. Das kostete Patreus seinen Job.

Außerdem stellen unverschlüsselte DNS-Abfragen einen Angriffsvektor für sogenannten Man-in-the-Middle-Attacken dar. Bei einem solchen Angriff täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, dem das angegriffene Ziel vertraut. Es gibt also gute Gründe, DNS-Abfragen zu verschlüsseln.

Firefox: DNS über HTTPS (DoH)

Seit einiger Zeit bietet Firefox Unterstützung für DNS-Abfragen über das HTTPS-Protokoll. Durch DNS-over-HTTPS (DoH) werden DNS-Anfragen verschlüsselt. Das schützt vor DNS-Hijacking und Spoofing, garantiert die Vertraulichkeit von DNS-Servern und unterbindet im Wesentlichen die Möglichkeit, Informationen an Dritte weiterzugeben. Alle diese Vorteile sind möglich, da die Auflösung von Domainnamen nicht die öffentliche DNS-Infrastruktur zur Auflösung einer Domain nutzt, sonder stattdessen eine direkte Verbindung zwischen einem Endbenutzer und der Schnittstelle eines Webservers bereitstellt.

Dadurch haben Clients eine größere Kontrolle über ihre DNS-Abfragen. DoH garantiert, dass einem Client genaue IP-Adressinformationen zur Verfügung gestellt werden, wodurch Dritte keine Möglichkeit haben, zu sehen, auf welche Websites ein Benutzer zugreifen möchte.

Für die Bereitstellung eines mit DoH-DNS-Servers arbeitet Mozilla mit dem amerikanischen Unternehmen Cloudflare zusammen. Daran entzündet sich jedoch Kritik. Datenschutz-Experten sehen in der Zusammenarbeit das Potenzial, die Privatsphäre der Nutzer zu untergraben. Im Wesentlichen wird Firefox Domainnamen über die DNS-Server von Cloudflare auflösen. Dies wird es Cloudflare nicht nur ermöglichen, die DNS-Anfragen aller zu lesen, ein Sicherheitsproblem an sich, sondern auch dazu beitragen, das Internet noch zentraler zu machen, als es bereits ist.

Freie DNS-Server mit DoH-Support

Allerdings kann man mit Firefox auch freie DoH-DNS-Server nutzen. Eine Liste findet sich etwa auf der Webseite des IT-Sicherheitsspezialisten Mike Kuketz oder beim von Datenschutz-Aktivisten betriebenen Portal Privacy-Handbuch.

Will man unter Firefox nicht den voreingestellten DNS-Server nutzen, kann man sich also aus den öffentlich zur Verfügung stehenden DNS-Servern mit DoH-Support bedienen. Für den Test verwendet ZDNet.de den von dem Niederländer Rick Lahaye betriebenen DNS-Server SecureDNS.eu, der nicht nur DNS-over-HTTPS, sondern auch DNS-over-TLS und DNSCrypt unterstützt. Wer beispielsweise ein Android-9-Smartphone nutzt, kann für die Verschlüsselung von DNS-Abfragen DNS-over-TLS verwenden.

Firefox: Benutzerdefinierten-DNS-Server mit DoH-Support eintragen (Bild: ZDNet.de)

Unter Firefox – Einstellungen – Verbindunsgeinstellungen trägt man als DoH-Server https://doh.securedns.eu/dns-query oder https://ads-doh.securedns.eu/dns-query ein. Letzterer unterbindet die Verbindung zu bekannten Werbenetzwerken, sodass er auch als Adblocker funktioniert. Das reicht jedoch noch nicht.

Firefox: about networking zeigt NUtzung von TRR/DoH (Bild: ZDNet.de)

Wie man unter about:networking sehen kann, kommt es nicht immer zu einem Verbindungsaufbau über die von Mozilla genutzte Technik Trusted Recursive Resolver (TRR) zum verschlüsselten DNS-Server. Offenbar traut der Firefox-Hersteller noch nicht zu 100 Prozent dem DoH-Technik und ermöglicht verschiedene Abstufungen:

Firefox: DoH/TRR-Abstufungen (Quelle: Mozilla/ Privacy-Handbuch)Firefox: DoH/TRR-Abstufungen (Quelle: Mozilla/ Privacy-Handbuch)

Standardmäßig steht der TRR/DoH-Modus auf 2. Damit nutzt Firefox als Backup auch den im System vorhandenen DNS-Dienst, der in den IP-Einstellungen festgelegt ist. Im obigen about:networking-Screenshot kann man erkennen, dass manchmal der DNS-Server mit DoH-Support genutzt wird und manchmal nicht. Erst die TRR-Einstellung 3, die man über about:config und network.trr.mode eingeben kann, sorgt dafür, dass der angegebene DoH-DNS-Server immer genutzt wird. Damit das funktioniert, muss man unter network.trr-bootstrapAddress noch die IP-Adresse des DNS-Servers mit DoH-Support (146.185.167.43) eingetragen werden.

Firefox: TRR-Mode 3 und IP-Adresse des DoH-DNS-Servers eingeben (Bild: ZDNet.de)

Firefox DNS over HTTPS (DoH): Fazit

Mit dem Support von DNS over HTTPS (DoH) schützt Firefox die Privatsphäre seiner Nutzer beim Surfen im Internet auch dann, wenn das Betriebssystem keinen standardmäßigen Support für eine verschlüsselte DNS-Abfrage bietet. Weder Windows, macOS oder Linux erlauben derzeit standardmäßig die Verschlüsselung von DNS-Abfragen. Nur Android 9 beherrscht dies mit Support für DNS over TLS (DoT). Egal welche der Techniken zur Verschlüsselung von DNS-Abfragen sich durchsetzen: alle sind besser als gar keine Verschlüsselung. Wünschenswert wäre allerdings eine systemweite Unterstützung für eine verschlüsselte DNS-Abfrage: Dann könnten auch alle anderen genutzten Anwendungen wie Outlook einen unverschlüsselten DNS-Dienst nutzen.

Mit TRR-Mode 3 und der Angabe der IP-Adresse des DoH-DNS-Servers nutzt Firefox standardmäßig die verschlüselte DNS-Abfrage über HTTPS (Bild: ZDNet.de).Mit TRR-Mode 3 und der Angabe der IP-Adresse des DoH-DNS-Servers nutzt Firefox standardmäßig die verschlüselte DNS-Abfrage über HTTPS (Bild: ZDNet.de).

Themenseiten: Firefox, Mozilla

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

8 Kommentare zu Privatsphäre schützen: DNS über HTTPS in Firefox aktivieren

Kommentar hinzufügen
  • Am 8. April 2019 um 13:42 von Frank Furter

    Schade, dass man für einen Artikel nur „nützlich – ja/nein“ vergeben kann.
    Dieser Artikel hat ***** verdient!

  • Am 8. April 2019 um 18:15 von Horst

    Dieses Gefrickel soll doch wohl ernsthaft kein normaler Benutzer anwenden.

  • Am 8. April 2019 um 20:24 von Mein Name ist Hase

    Bin ein sehr normaler Anwender und dankbar für diesen Artikel. Für mein Niveau gut verständlich und der Rest war kopieren und einfügen.

  • Am 9. April 2019 um 8:33 von Sunny Marx

    Noch subjektiver kann ein Artikel gar nicht sein. Was hier total ignoriert wird, ist, dass auch verschlüsselte Anfragen vom DNS-Betreiber gespeichert und ausgewertet werden können. Was jedoch überhaupt nicht behandelt wird, dass eine unverschlüsselte DNS-Abfrage ohne Probleme manipuliert werden kann.

    • Am 9. April 2019 um 8:38 von Kai Schmerer

      Beide Punkte werden im Artikel erwähnt:
      „Außerdem stellen unverschlüsselte DNS-Abfragen einen Angriffsvektor für sogenannten Man-in-the-Middle-Attacken dar. Bei einem solchen Angriff täuscht der Angreifer vor, dass seine Pakete von einem Rechner kommen, dem das angegriffene Ziel vertraut. Es gibt also gute Gründe, DNS-Abfragen zu verschlüsseln.“
      „Im Wesentlichen wird Firefox Domainnamen über die DNS-Server von Cloudflare auflösen. Dies wird es Cloudflare nicht nur ermöglichen, die DNS-Anfragen aller zu lesen, ein Sicherheitsproblem an sich, sondern auch dazu beitragen, das Internet noch zentraler zu machen, als es bereits ist.“

  • Am 9. April 2019 um 14:55 von Ben

    Noch als Hinweis – mag auch andere Seiten treffen: wenn der Wert für network.trr.mode auf 3 gesetzt wird, funktioniert die Anmeldeseite für Office 365 (https://portal.office.com) nicht mehr. 3 scheint also zumindest aktuell noch nicht produktiv nutzbar zu sein.

  • Am 9. April 2019 um 20:54 von Willy

    Ich finde den Artikel hervorragend und wünsche mir noch ausführlichere Informationen – jedenfalls danke

  • Am 16. Juli 2019 um 2:12 von Surfinator

    Schön und gut, aber damit funktioniert bei mir kein E-Mail mehr. Wie kann ich E-Mail so konfigurieren, dass das auch mit SecureDNS über DoH läuft? Muss ich da den Port ändern?

    Ich habe SecureDNS beim Router eingestellt gehabt. Jetzt habe ich es wieder auf Digitalcourage zurück gestellt, damit E-Mail wieder läuft.

    Scheinbar läuft SecureDNS überhaupt nicht, wenn man nicht DoH oder DoT einstellt. DoT kann ich sowieso vergessen, da Firefox das gar nicht unterstützt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *