DNS over HTTPS in Firefox

Seit Version 60 biete Firefox Unterstützung für DNS over HTTPS, kurz DoH. Von vielen wird das als große Verbesserung der Sicherheit gefeiert, weil der lokale Internet-Provider die verschlüsselten DNS-Anfragen nicht mehr mitlesen kann.

Dabei wird jedoch häugfig vergessen, dass der DoH-Partner von Mozilla Cloudflare heißt und in den USA ansässig ist. In Zeiten von allgegenwärtigen Geheimdiensten und National Security Letters darf insbesondere bei den USA bezweifelt werden, dass die Sicherheit durch DoH tatsächlich erhäht wird. Stattdessen präsentiert Mozilla die DNS-Anfragen aller Firefox-Nutzer den USA quasi auf dem Silbertablett.

Zusätzlich wird durch die Aktivierung von DoH das OCSP-Protokoll deaktiviert. Dieses Protokoll ist ein wichtiger Bestandteil zur Bestätigung der Echtheit von Zertifikaten. Für seine Nutzung wird jedoch DNS benötigt. DNS ist jedoch bei aktiviertem DoH erst verfügbar, wenn eine HTTPS-Verbindung zum DNS-Server aufgebaut wurde. Damit das erfolgreich von statten geht, muss OCSP zwangläufig deaktiviert werden.

Nutzer von DNS-basierten Sicherheitsdiensten wie pi-hole oder OpenDNS stellen bei aktiviertem DoH fest, dass sie auf einmal wieder Werbung sehen und Seiten öffnen können, die eigentlich gesperrt sind. Auch in Unternehmensumgebungen bleibt das interne DNS-System ungenutzt, denn Firefox tunnelt die DNS-Abfragen verschlüsselt durch den Proxy-Server und umgeht somit wichtige Sicherheitssperren.

DoH deaktivieren

DoH kann über die erweiterten Einstellungen konfiguriert und deaktiviert werden. Dazu geben Sie in die Adressleiste about:config ein und bestätigen die Warnmeldung über mögliche Schäden durch Konfigurationsfehler.

Suchen Sie anschließend die Option network.trr.mode. Diese steht standardmäßig auf dem Wert 0 (Mozilla Default). Aktuell bedeutet das, dass DoH aktiv ist und genutzt wird. Belässt man die Einstellung auf dem Wert 0, darf Mozilla mit kommenden Programm-Updates das DoH-Verhalten des Browsers ändern. Es sind folgende Einstellungen möglich:

  • 0 Mozilla Default
  • 1 Standard-DNS und DoH werden parallel abgefragt. Das erste Ergebnis wird genutzt.
  • 2 DoH wird primär genutzt. Die lokalen DNS-Server dienen nur als Fallback.
  • 3 Es wird ausschließlich DoH genutzt.
  • 4 Standard-DNS und DoH werden parallel abgefragt. Es wird immer das Ergebnis des Standard-DNS genutzt. DoH-Ergebnisse werden verworfen.
  • 5 DoH wird deaktiviert. DNS-Abfragen erfolgen nur über Standard-DNS.

Wer DoH nicht nutzen möchte, sollte die Option 5 einstellen. Dadurch wird sichergestellt, dass DoH deaktiviert ist und auch nach zukünftigen Updates deaktiviert bleibt.

Um sicherzugehen, dass OCSP aktiviert ist, sollten Sie danach noch die Option security.OCSP.enabled prüfen. Diese steht diese auf 0, erfolgt bei vielen Zertifikaten keine Prüfung gegen die Zertifikatssperrliste. Somit erkennt der Browser nicht, wenn ein Zertifikat aus Sicherheitsgründen widerrufen wurde. Um OCSP wieder zu aktivieren, muss die Option auf 1 gesetzt werden.

DoH konfigurieren

Natürlich ist DoH nicht immer schlecht. Beispielsweise kann es in einem Netzwerk Sinn machen, in dem man dem Administrator oder den anderen Nutzern nicht vertraut. Bei unverschlüsselten Hotspots in Cafes, Bahöfen, Supermärkten sorgt DoH dafür, dass nicht jeder besitzer eines WLAN-Geräts Ihre DNS-Abfragen mitlesen kann. Somit DoH in diesen Fällen ein Sicherheitsgewinn. Sie sollten sich dann aber fragen, ob Sie tatächlich die amerikanischen Server der Firma Cloudflare nutzen möchte. Hier sind mögliche Alternativen:

SecureDNS.eu ist ein europäischer, sicherer DNS-Service, der an die DSGVO gebunden ist:

network.trr.uri = https://doh.securedns.eu/dns-query
network.trr.bootstrapAddress = 146.185.167.43

Cloud9 ist ein Konsortium aus Großunternehmen. Diese sind zwar größtenteils aus den USA, die Server stehen aber per AnyCast weltweit verteilt und unterliegen somit hier in Europa auch dem lokalen Recht:

network.trr.uri = https://dns.quad9.net/dns-query
network.trr.bootstrapAddress = 9.9.9.9

Google ist zwar überhaupt nicht berühmt für sinen Datenschutz, soll hier aber der Vollständigkeit halber nicht fehlen:

network.trr.uri = https://dns.google.com/resolve
network.trr.bootstrapAddress = 216.58.214.110

Wer zur Standard-Einstellung zurückkehren möchte und sich diese nicht gemerkt hat, nutzt so die Server von Cloudflare:

network.trr.uri = https://cloudflare-dns.com/dns-query
network.trr.bootstrapAddress = 1.1.1.1

Für die Hotspot-Nutzung ist es häufig erforderlich, dass bis zur Anmeldung am Hotspot das lokale DNS genutzt wird. Auch hier bietet Firefox dank der DHCP-basierten Hotspot-Erkennung die Möglichkeit, so lange Standard-DNS zu nutzen, bis die Anmeldung erfolgt ist und dann automatisch auf DoH umzuschalten:

network.trr.wait-for-portal = true
network.captive-portal-service.enabled = true

DOH überprüfen

Firefox bietet auch eine Möglichkeit an, wie Sie prüfen können ob DoH korrekt funktioniert. Insbesondere in den hybriden Modi ist es so möglich zu überprüfen, ob Standard-DNS oder DoH genutzt wird.

Öffnen Sie dazu die Seite about:networking und wechseln Sie auf die Registerkarte DNS.

Kommentar hinterlassen