Mozilla will mit einem Firefox-Update die DNS-Auflösung mit "DNS over HTTPS" absichern.
Der Verkehr soll nur über Cloudflare laufen – Experten warnen davor.
Die Missbrauchsmöglichkeiten des Domain Name System (DNS), das als digitales "Telefonbuch fürs Internet" eine zentrale Rolle beim Ansteuern von Web-Adressen spielt, sind groß und vielfältig dokumentiert. Lange dümpelten Mechanismen, die Abhilfe schaffen sollten, vor sich hin. Mittlerweile stehen neue Standards wie DNS over HTTPS (DoH) zur Verfügung, mit denen der Verkehr zur Umwandlung einer URL in eine dahinterstehende IP-Adressen besser abgesichert werden kann. Mozilla ist mit dem Open-Source-Browser Firefox gerade dabei, diese Spezifikation möglichst rasch zu implementieren. Doch Experten warnen vor neuen Angriffsflächen.
So weisen etwa Sicherheitsexperten des Schweizer Open-Source-Dienstleisters Ungleich darauf hin, dass Mozilla mit einem der nächsten Updates für Firefox DoH standardmäßig einführen wolle. Auf die Technik an sich, mit der DNS-Anfragen und -Antworten über das verschlüsselte HTTPS-Protokoll geschickt werden, gehen die Fachleute nicht näher ein. Ihnen stößt aber übel auf, dass Mozilla in dem Browser für die Adressauflösung den DNS-Anbieter Cloudflare als sogenannten Trusted Recursive Resolver (TRR) fest einstellen wolle. Die US-Firma werde damit imstande sein, die DNS-Anfragen aller Firefox-Nutzer zu lesen.
Cloudflare als Unsicherheitsfaktor
Ein solches Verfahren als Angebot anzupreisen, das die Sicherheit erhöhe, sei "irreführend", monieren die Schweizer. Die Lösung mit Cloudflare könne zwar hilfreich sein, wenn man sich etwa in einem öffentlichen WLAN befinde, wo einem im Zweifelsfall ein unbekannter, eventuell kompromittierte DNS-Server untergejubelt und man so auf Phishing-Seiten umgeleitet werden könnte. Für Nutzer jedoch, die sich in einem vertrauenswürdigen Netzwerk befänden und keine größeren Probleme mit ihren angestammten DNS-Auflösungsdiensten hätten, stelle der Datenaustausch mit Cloudflare einen Unsicherheitsfaktor dar.
Der DNS-Anbieter verspreche zwar, alle personenbeziehbaren Informationen aus den übersandten Daten nach 24 Stunden zu löschen, schreiben die Beobachter.
Man wisse aber letztlich nie, wo der Verkehr am Ende des Tages lande. Die Kooperation mit Cloudflare biete so einen zentralen Angriff- und Fehlerpunkt. Die Ungleich-Blogger geben zugleich Tipps, wie man DoH komplett abstellen oder den TRR ändern kann.
Noch deutlicher wird Felix von Leitner ("Fefe") vom Chaos Computer Club (CCC). Der Hacker meint in seinem Blog, dass Cloudflare mit der skizzierten Voreinstellung in Firefox und der Kooperation mit Mozilla bald "ganz oben auf der Liste der für die NSA interessanten Firmen" stehen werde. Der US-Geheimdienst werde alles daran setzen, die DNS-Daten dort abzugreifen: Zur Not nicht per Hack sondern per National Security Letter (NSL), einem mächtigen Auskunftswerkzeug für US-Sicherheitsbehörden. Es sei höchst bedauerlich, dass die Firefox-Macher "mit solchen Geschichten weiter Krieg gegen ihre User" führten.
Gefährlichen Zentralisierung
Wann genau DoH mit dem TRR-Dienst von Cloudfalle in dem Browser voreingestellt werden soll, hat Mozilla noch nicht festgelegt. Seit Version 60 von Firefox lässt sich DoH über den Dialog about:config bereits manuell einstellen und so testen. Zur Namensauflösung lassen sich dabei auch andere TRR etwa von Google oder CleanBrowsing eintragen.
In Kreisen der Internet Engineering Task Force (IETF), in denen die DoH-Spezifikation vorangetrieben wird, gibt es schon seit einiger Zeit Bedenken wegen einer gefährlichen Zentralisierung etwa durch die Mozilla-Pläne. Damit gingen komplette Surf-Profile an eine US-Firma. Das Konzept sorgt so für heftige Diskussionen, da die wichtige Namensauflösung bald völlig von einer Handvoll Konzerne dominiert werden könnte. Alternativ gibt es auf IETF-Ebene so mittlerweile auch einen Vorschlag für mehr Diversität bei der DoH-Implementierung. So sollen Browser mehrere einschlägige Server und vertrauenswürdige Endpunkte eintragen können. (Stefan Krempl)
Quelle: Trusted Recursive Resolver: Kritik an neuer Sicherheitsfunktion für Firefox
Update 09.09.2019:
Mozilla aktiviert DNS-over-HTTPS für Firefox-Nutzer
Nach erfolgreichen Tests will Mozilla noch im September DNS-over-HTTPS (DoH) für alle Firefox-Nutzer freischalten. Dies geschieht zunächst in den USA.
DNS-over-HTTPS (DoH) wurde in der Vergangenheit kontrovers diskutiert. Noch im September will Mozilla DoH nun zum Standard machen und es nach und nach grundsätzlich aktivieren – zunächst aber nur in den USA. Firefox-Nutzer müssen dann keinen Schalter umlegen, sondern profitieren automatisch von verschlüsselten DNS-Abfragen. DoH werde anfangs für einen kleinen Prozentsatz der Nutzer aktiviert. Wenn das problemlos verläuft, "werden wir Bescheid geben, wenn wir für einen hundertprozentigen Einsatz von DoH bereit sind", erklärt Mozilla.
In jüngsten Experimenten habe es laut Mozilla keine Probleme gegeben. DoH standardmäßig zu aktivieren, sei daher der nächste Schritt und könnte eines Tages das herkömmliche DNS großflächig ablösen. Wenn Firefox DoH aktiviert, erhalten die Nutzer einen Hinweis darauf – und die Möglichkeit, es abzuschalten (opt-out).
DoH schützt Privatsphäre
Bei aktiviertem DNS-over-HTTPS verschlüsselt Firefox die DNS-Daten, was die Privatsphäre der Nutzer besser schützt als unverschlüsselte DNS-Abfragen. Allein diese Metadaten lassen nämlich viele Rückschlüsse über Online-Aktivitäten zu. Zudem sind unverschlüsselte DNS-Abfragen durch Man-in-the-Middle-Attacken verwundbar, ein Angreifer kann den Traffic also manipulieren. DoH hingegen schützt vor DNS-Hijacking und Spoofing, zudem lässt sich DoH-Traffic schwer zensieren.
Es gab jedoch lautstarke Kritik, die sich gegen Mozillas Partner Cloudflare richtete, der DoH-DNS-Server betreibt. Firefox ließ bei aktivem DoH sämtliche Domain-Auflösungen von dem Dienst erledigen. Dieser können den Traffic zu Geschäftszwecken analysieren, was die Privatsphäre gefährde, so die Kritiker. Mozilla räumte daraufhin ein, dass die Konzentration "alles andere als ideal" sei. DoH birgt außerdem Gefahren, da es eine bewährte, stabile Infrastruktur weitgehend umkrempelt.
Fallback-Modus für Problemfälle
Mozilla jedenfalls sei nach vielen Experimenten nun soweit, einen verlässlichen Dienst mit guter Performance anbieten zu können. Die Entwickler hätten "wichtige Bereitstellungsprobleme" erkannt und abgemildert, sodass "die meisten Nutzer" von den höheren Schutzmaßnahmen des verschlüsselten DNS-Traffics profitieren würden. Nicht jede Abfrage wird HTTPS nutzen, Mozilla plant einen "Fallback Modus". Wenn irgendwas schiefgeht oder die Heuristiken anschlagen, greift Firefox auf herkömmliche DNS-Abfragen zurück, um die korrekte Adresse zu finden.
Sind Kontrollsysteme für Kinder aktiv, will Firefox diese erkennen und DoH abschalten. Auf diese Weise bleiben Kinder beim Surfen weiterhin geschützt. Auch auf etwaige Enterprise-Policies soll Firefox reagieren und DoH gegebenenfalls deaktivieren. "Wenn eine Unternehmensrichtlinie DoH ausdrücklich zulässt, was wir für großartig fänden, werden wir das auch respektieren", schreibt die Technische Leiterin Selena Deckelmann, die bei Firefox für Privacy und Sicherheit zuständig ist.
70.000 Firefox-Nutzer haben DoH aktiviert
Mozilla arbeitet seit 2017 an DNS-over-HTTPS; seit Juni 2018 laufen erste Experimente im Firefox-Browser. Mit ihnen wollten die Entwickler sicherstellen, dass Performance und Nutzererfahrung stimmen. Das Fazit: DNS-over-HTTPS ist praxistauglich. "Wir sind sehr überrascht und begeistert von den mehr als 70.000 Benutzern, die sich bereits entschieden haben, DoH in Firefox explizit zu aktivieren", schreibt Deckelmann.
Quelle: Mozilla aktiviert DNS-over-HTTPS für Firefox-Nutzer | heise online
Update 16.09.2019:
OpenBSD deaktiviert DNS-over-HTTPS in Firefox
Mozilla und Cloudflare arbeiten für DNS-over-HTTPS zusammen. Deshalb hat das OpenBSD-Team nun entschieden, DoH in seinem Firefox-Port abzuschalten.
Eigentlich ist die Verschlüsselung von DNS eine gute Idee, das finden auch die Macher vom freien Betriebssystem OpenBSD. Dennoch haben sie sich nun dazu entschieden, die automatische Verwendung von DNS-over-HTTPS (DoH) in Firefox zu deaktivieren. Das betrifft den speziellen Port des Mozilla-Browsers. Der Grund: Den gesamten DNS-Traffic über Cloudflare laufen zu lassen, sei gute Idee. Mozilla arbeitet mit dem amerikanischen Cloud-Anbieter zusammen, um DoH in Firefox anbieten zu können. (Die Nutzer können aber auch auf andere DNS-Anbieter ausweichen, die DoH unterstützen.)
Die kleine Änderung ging aus einer Log-Nachricht von Otto Moerbeek hervor, dessen Inhalt das OpenBSD Journal veröffentlichte. Der Softwareentwickler aus den Niederlanden engagiert sich in seiner Freizeit beim OpenBSD-Projekt. In seiner knappen Nachricht schrieb er: "Während die Verschlüsselung von DNS eine gute Sache sein kann, ist es keine gute Idee, den gesamten DNS-Traffic standardmäßig an Cloudflare zu senden." Die Anwendungen sollten sich an die im Betriebssystem konfigurierten Einstellungen halten, findet Moerbeek. OpenBSD-Entwickler Peter Hessler wiederholte die Erklärung in einem Tweet.
DoH für Firefox-Nutzer in den USA
Erst vor Kurzem hatte Mozilla angekündigt, alle Firefox-Nutzer in den USA schrittweise auf DNS-over-HTTPS umzustellen. Zuvor waren einige Experimente zuletzt ohne Probleme verlaufen – die standardmäßige Aktivierung von DoH sei daher der nächste Schritt. Kritik gab es, weil sich Mozilla Cloudflare als Partner ausgesucht hat. Der Anbieter könne den Traffic etwa zu Geschäftszwecken analysieren, fürchten die Kritiker. Auch Google will DoH im Chrome-Browser testen, eine Implementierung ist für Chrome 78 geplant. Alle Firefox-Nutzer, die DoH verwenden wollen, können ihren Browser frei konfigurieren und auch einen anderen DNS-Server verwenden. Mozilla liefert in seinem Wiki weitere Hinweise dazu.
Quelle: OpenBSD deaktiviert DNS-over-HTTPS in Firefox | heise online