Google weist Kritik an DNS-over-HTTPS in Chrome zurück

Die Vorwürfe richten sich gegen die Beschränkung von DoH auf bestimmte DNS-Anbieter. Comcast unterstellt sogar, Google wolle Nutzer zum Umstieg auf seine DNS-Server bewegen. Ein Sicherheitsexperte lobt Google indes für seine Umsetzung von DoH.

Google hat Kritik an der Integration des Protokolls DNS over HTTPS (DoH) zurückgewiesen, das DNS-Abfragen verschlüsselt und Nutzern mehr Sicherheit und Privatsphäre bieten soll. Ablehnung kommt unter anderem von Sicherheitsexperten und Internet Service Providern.

Google Chrome (Bild: Google)Das Domain Name System (DNS) ist das Adressbuch des Internets. Es übersetzt vor allem die Klarnamen von URLs in die IP-Adressen der zugehörigen Webserver und erspart Nutzern letztlich, statt Namen Zahlenfolgen in ihre Browser eingeben zu müssen. DNS-Server werden unter anderem von Internet Service Providern und Infrastruktur-Anbietern wie Cloudflare betrieben. Aber auch Google bietet eigene DNS-Server an.

DoH verschlüsselt die DNS-Anfragen auf dem Weg vom Browser zum DNS-Server. Der Betreiber des DNS-Servers ist trotzdem in der Lage, einen Nutzer zu verfolgen, vor allem weil er zur Verarbeitung über die eigentliche DNS-Abfrage hinausgehende Daten erhält. Googles Browser Chrome bietet nun seit Version 78, die vor einer Woche freigegeben wurde, die Möglichkeit, DNS over HTTPS in den Einstellungen aktivieren.

Der US-Internetanbieter Comcast erklärte daraufhin gegenüber US-Behörden, Google plane mit der Einführung von DoH Chrome-Nutzer zum Umstieg auf Googles eigenen DNS-Dienst zu bewegen. Als Folge würden die Mehrheit der DNS-Daten weltweit bei Google landen. Googles „einseitige Zentralisierung von DNS ernste Probleme in Bezug auf Cybersicherheit, Datenschutz, Kartellrecht, nationale Sicherheit, Strafverfolgung, Netzwerkleistung und Servicequalität (inklusive 5G) und in anderen Bereichen aufwirft“.

Googles Kenji Baheux, Produktmanager für Chrome, bestritt diese Vorwürfe nun in einem Blogbeitrag. „Weil wir an Auswahl und Kontrolle für Nutzer glauben, haben wir nicht vor, Nutzer zum Wechsel ihres DNS-Anbieters zu zwingen.“

Tatsächlich sei Chrome nur in der Lage, DoH-Verbindungen anzubieten, falls der DNS-Anbieter des Nutzers dies unterstütze. Allerdings nennt Google auch direkt die möglichen DoH-Anbieter: Cleanbrowsing, Cloudflare, Comcast, DNS.SB, OpenDNS, Quad9 und eben auch sich selbst. „Falls der DNS-Server nicht auf der Liste steht, wird Chrome nicht in der Lage sein, DoH einzuschalten. Sobald die Verbreitung von DoH zunimmt rechnen wir damit, dass sich auch die Zahl der DoH-fähigen DNS-Anbieter erhöht“, ergänzte Baheux. Derzeit sind Chrome-Nutzer jedoch auf diese von Google zusammengestellte Liste für DoH beschränkt.

Auch Firefox setzt inzwischen ebenfalls auf DoH, verfolgt dabei jedoch einen anderen Ansatz. Ab Werk nutzt der Mozilla-Browser für DoH den US-Anbieter Cloudflare. Nutzer können jedoch auch einen beliebigen DNS-Anbieter hinterlegen, der verschlüsselte DNS-Anfragen unterstützt. Eine Übersicht bieten unter anderem die Website des IT-Sicherheitsspezialisten Mike Kuketz und das von Datenschutzaktivisten betriebene Portal Privacy-Handbuch. In Großbritannien verzichtet Mozilla nach Protesten von Behörden zudem vollständig auf DoH.

Genau diesen Ansatz kritisierte nun der DNS-Experte Paul Vixie. Es sei wichtig, so wie es Google mit Chrome vormache, DoH nur über bekannte und stabile DNS-Server anzubieten. Nur so seien Betreiber privater Netzwerke in der Lage, bestimmte DNS-Anbieter in ihren Firewalls zu blockieren und eine Umgehung der eigenen DNS-Server zu verhindern. DNS-Server seien nämlich wichtige Kontrollpunkte für die IT-Sicherheit. „Ich würde mir wünschen, Mozilla würde DoH in Firefox so umsetzen wie Chrome“, so Vixie weiter.

WEBINAR

Webinar: Noch mehr Rekorde - HPE ProLiant Gen10 Plus Server mit AMD EPYC-Prozessoren der 2. Generation

Neben der herausragenden Performance mit doppelter Kerndichte im Vergleich zur vorherigen Generation bieten die neuen HPE ProLiant Gen10 Plus Server mit AMD® EPYC™ Prozessoren der 2. Generation auch in Sachen Sicherheit einzigartige Features – in HPEs Silicon Root of Trust ist der AMD Secure-Processor eingebunden, ein dedizierter Sicherheitsprozessor, der im AMD EPYC System in einem Chip (System-on-a-Chip, SoC) integriert ist. Der Sicherheitsprozessor sorgt für sicheres Starten, Arbeitsspeicherverschlüsselung und sichere Virtualisierung. Erfahren Sie in diesem Webinar, wie Sie von der überlegenen Leistung der HPE Server profitieren.

Themenseiten: Chrome, Google, Privacy, Sicherheit, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Google weist Kritik an DNS-over-HTTPS in Chrome zurück

Kommentar hinzufügen
  • Am 5. November 2019 um 4:34 von Sunny Marx

    DoH gehört nicht in den Browser, sondern ins Betriebssystem. Es kann doch nicht jedes Programm sein eigenes Süppchen kochen. Und die Schnittstelle des Betriebssystems ist doch da. Man muss DoH nur darin integrieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *