Macht DNS über HTTPS Mozilla zu einem "Internet-Schurken"?

Im Allgemeinen, wenn ein App-Entwickler Funktionen hinzufügt, die Sicherheit, Datenschutz und Leistung verbessern, bekommt er nicht viel Flak dafür. Mozillas Implementierung von DNS über HTTPS (eine verschlüsselte Methode für Ihren Computer, um Webadressen nachzuschlagen) brachte ihm jedoch einen Platz als Finalist im "Internet Villains"-Ranking der britischen Internet Service Provider Association (ISPA) und einige negative Kommentare von Regierungsbehörden ein.

Warum? Denn diese Funktion verschlüsselt die Anfragen, die Ihr Computer sendet, wenn er versucht, eine Website zu finden. Britische ISPs müssen sich an die Vorschriften zur Internetsperrung und -verfolgung halten, von denen viele auf DNS-Ebene implementiert sind, so dass sie keine großen Fans von Leuten sind, die die Macht haben, ihre Filter zu umgehen.

Der größte Teil des Internets stimmt jedoch nicht mit der ISPA überein, da verschlüsseltes DNS so ziemlich alles besser macht: Es hält das Surfen privater, hilft Cyberangriffe zu verhindern und funktioniert sogar etwas schneller als normales DNS.

Was ist DNS? Und was ist daran falsch?

Wenn Sie nicht wissen, wie normales DNS (Domain Name Server) funktioniert, hier ist ein kurzer Überblick:

  1. Websites haben alle IP-Adressen aus Zahlen, aber das ist für uns schwer zu merken, also verwenden wir Namen.
  2. Um den von uns eingegebenen Namen mit der Nummer abzugleichen, muss unsere Anfrage an einen DNS-Server gerichtet werden, der eine Liste von IP-Adressen führt, die den Namen zugeordnet sind. Das ist eine DNS-Anfrage - einen "Telefonbuch"-Server bitten, uns die tatsächliche numerische Adresse der Website mitzuteilen, die wir zu besuchen versuchen.
  3. Ihr Standardserver, wenn Sie ihn nicht geändert haben, ist derjenige, der von Ihrem ISP empfohlen und/oder ausgeführt wird. Deine Anfrage wird dorthin gehen, und der Server wird einen Haufen ausgefallener Fußarbeit leisten und deine Anfrage an ein paar verschiedene Orte weiterleiten, um die Teile zusammenzusetzen.
  4. Nach ein paar Mikrosekunden sollte die Adresse, die Sie benötigen, auf Ihr Gerät zurückkommen, damit Sie eine Verbindung mit dem Server herstellen können, auf dem sich die gewünschte Website befindet.

Dies ist im Grunde genommen ein komplexer Prozess der Telefonbuchsuche, und das alles geschieht in wenigen Millisekunden, was ziemlich beeindruckend ist. Alle diese Informationen werden jedoch im Klartext übertragen, d.h. jeder, der sie sich ansieht (normalerweise Ihr ISP, aber vielleicht ein Angreifer), kann erkennen, wohin Sie gehen und möglicherweise Ihre Verbindung stören, indem er sie entweder blockiert oder die falsche Adresse zurückschickt, um zu versuchen, Sie zum Besuch einer bösartigen Website zu bewegen.

Lin Clark bei Mozilla verwendet die Metapher, eine Notiz im Unterricht mit dem Namen eines anderen zu übergeben - sie könnte dorthin gelangen, wohin sie führt, aber jetzt weiß jeder, an wen man eine Notiz weitergibt, und wenn er will, kann er sie lesen oder manipulieren. Wäre es nicht besser, wenn es eine Möglichkeit gäbe, die Notizen in einen Geheimcode zu schreiben und sie an den Empfänger zu senden, ohne dass jeder weiß, wer es ist? Das ist DNS über HTTPS.

Inwiefern unterscheidet sich DNS über HTTPS?

Wenn Sie Daten über HTTP senden (das grundlegende Protokoll für die Datenübertragung über das Web), ist es im Klartext, so dass es für so ziemlich jeden lesbar ist (wie normales DNS). HTTPS ist jedoch so verschlüsselt, dass niemand, der die Daten abfängt, sie lesen kann. DNS über HTTPS ist so ziemlich das, wonach es klingt: Ihre DNS-Anfrage wird über den gleichen sicheren Kanal an den Nameserver gesendet, der Ihre Kreditkartendaten übermittelt, wenn Sie auf einer Einkaufsseite auschecken.

Niemand, auch der ISP, weiß, was drin ist. Wenn sie versuchen, es zu öffnen, wird es wie Kauderwelsch aussehen. Die Anfrage kann nicht blockiert oder protokolliert werden, so dass Länder wie Großbritannien und China eine schwierigere Zeit haben werden, den Datenverkehr zu filtern und zu verfolgen. Das macht es nicht völlig unauffindbar, da Ihr ISP immer noch in der Lage ist, die Adresse zu sehen, mit der Sie sich am Ende verbinden, aber es macht das Blockieren schwieriger und verschleiert viele Details über Ihre Aktivität.

Firefox hat sich auch mit Cloudflare zusammengeschlossen, das sich auf besonders strenge Datenschutzstandards für Firefox-Benutzer geeinigt hat und auch "QNAME-Minimierung" verwendet, die Ihre Anfrage im Wesentlichen in einzelne Teile zerlegt, so dass kein Server die gesamte Adresse, die Sie nachschlagen, erhält.

Wie bekomme ich es?

DNS über HTTPS ist in Firefox derzeit standardmäßig nicht aktiviert, aber es ist einfach zu tun.

1. Öffnen Sie das Hamburger-Menü oben rechts.

2. Gehen Sie zu Optionen und scrollen Sie den Abschnitt "Allgemein" nach unten, bis Sie "Netzwerkeinstellungen" sehen.

3. Aktivieren Sie "DNS über HTTPS aktivieren". Sie können entweder das standardmäßige Cloudflare verwenden (empfohlen, da es viele zusätzliche Datenschutzfunktionen bietet) oder Ihr eigenes eingeben.

Du bist fertig! Sie können überprüfen und sicherstellen, dass es beim DNS-Leak-Test funktioniert hat. Sie sollten sehen, wie Cloudflare DNS-Server auftauchen. Du hast gerade ein paar Widerstandspunkte für Privatsphäre, Sicherheit und Zensur zu deinem Statistikblatt hinzugefügt. Herzlichen Glückwunsch!

Wenn Sie eher ein Chrome-Benutzer sind, müssen Sie warten, bis Google es dort aktiviert, und es ist wahrscheinlich, dass sie es tun werden, aber Sie können die DNS Ihres Systems trotzdem in etwas etwas privateres als Ihren ISP ändern.

Vielleicht hätte ISPA ruhig bleiben sollen?

Da steht der Streisand-Effekt drauf: Man versucht, etwas zu unterdrücken, das man nicht mag, und macht es am Ende populärer, als es sonst der Fall gewesen wäre. ISPAs Versuch, Mozilla zu beschämen, führte tatsächlich dazu, dass das Wort über DNS über HTTPS besser verbreitet wurde, als es Mozilla allein wahrscheinlich hätte tun können.

Wenn genügend Leute anfangen, es zu benutzen, wird es definitiv Probleme für Länder schaffen, die DNS verwenden, um das Internet zu zensieren, aber das ist kaum der einzige Weg, Websites zu blockieren, also ist dies keineswegs eine Komplettlösung. Ein VPN ist immer noch der absolut beste Weg, um Zensur und/oder Tracking zu umgehen, und das wird es wahrscheinlich auch bleiben, da immer mehr Regierungen und ISPs ihre Überwachungsstrategien anpassen.