Bereits seit einigen Jahren arbeiten wir daran, mit dem Domain Name System (DNS) einen der ältesten Bereiche des Internets zu aktualisieren und sicher zu machen. Zu Beginn dieses Jahres haben wir diesbezüglich einen wichtigen Meilenstein erreicht und mir DNS über HTTPS (DoH) die technische Lösung für Datenschutz und Sicherheit im DNS für Nutzer*innen von Firefox in den USA ausgerollt. Angesichts des transformativen Charakters dieser Technologie und unseres Engagements für Transparenz und Zusammenarbeit waren wir immer darauf bedacht, DoH gut geplant und inklusiv zu implementieren. Deshalb starten wir heute eine Kommentarperiode, um unsere Planung bestmöglich informiert vorantreiben und evaluieren zu können, wie wir die Vorteile von DoH für Firefox Nutzer*innen in weiteren Regionen der Welt zugänglich machen möchten.
Etwas Hintergrundwissen
Bevor wir anfangen, die Kommentarperiode genauer zu erläutern, sollten wir zunächst einige Dinge über DoH und seine Umsetzung klarstellen.
Was ist das “DNS”?
Das Domain Name System (Kurzform DNS) ist eine Datenbank, die einen für uns Menschen lesbaren Namen (zum Beispiel www.mozilla.org) mit einer computerfreundlichen Ziffernfolge verknüpft, der sogenannten IP-Adresse (zum Beispiel 192.0.2.1). Indem er eine DNS-Suche in dieser Datenbank durchführt, ist Ihr Webbrowser in der Lage, Webseiten für Sie zu finden. Aufgrund der jahrzehntealten Bauweise von DNS führten Browser diese Suche nach Webseiten bisher ohne Verschlüsselung durch – und zwar auch bei Seiten, die durch https:// verschlüsselt waren.
Welche Bedenken gibt es beim traditionellen DNS?
Aufgrund der fehlenden Verschlüsselung im traditionellen DNS können andere Parteien diese Daten auf ihrem Weg sammeln oder sogar blockieren und verändern. Zu diesen Parteien können unter anderem Ihr Internet Service Provider (ISP) – sofern Sie sich über ein Heimnetz verbinden, Ihr Mobilfunknetzbetreiber (MNO) – wenn Sie sich mit dem Smartphone einloggen – oder ein Anbieter von WiFi-Hotspots zählen – wenn Sie in einem Café ins Internet gehen. Unter Umständen könnten Sie so sogar abgehört werden.
In den Anfangstagen des Internets waren solche Bedrohungen für die Privatsphäre und Sicherheit der Nutzer*innen zwar bekannt, wurden allerdings noch nicht ausgenutzt. Heute wissen wir, dass unverschlüsseltes DNS nicht nur anfällig für Bespitzelungen ist, sondern die Schwachstellen auch aktiv ausgenutzt werden. Deshalb helfen wir dem Internet dabei, zu sichereren Alternativen zu wechseln. Und hier kommt DoH ins Spiel.
Was ist DoH und wie lindert es diese Probleme?
In Anlehnung an die Best-Practice-Beispiele bei der Verschlüsselung von HTTP-Verkehr hat Mozilla zusammen mit Interessenvertretern der Branche in der Internet Engineering Task Force (IETF) an der Entwicklung einer DNS-Verschlüsselungstechnologie namens DNS-over-HTTPS, Kurzform DoH (gesprochen wie das englische Wort für Teig, „dough“), gearbeitet. Diese ist in RFC 8484 spezifiziert. Die Technologie verschlüsselt DNS-Anfragen und auch die Antworten werden zwischen Ihrem Gerät und dem DNS-Resolver über HTTPS verschlüsselt. Da DoH ein aufkommender Internet-Standard ist, können ihn neben Mozilla auch weitere Betriebssystemhersteller und Browser implementieren. Tatsächlich haben Google, Microsoft und Apple DoH in ihren jeweiligen Browsern und/oder Betriebssystemen entweder bereits eingeführt oder befinden sich gerade in späten Phasen der Implementierung. Darum ist es nur eine Frage der Zeit, bis DoH zu einem allgegenwärtigen Standard wird, der zur Verbesserung der Sicherheit im Web beiträgt.
Wie hat Mozilla DoH bisher ausgerollt?
Für Firefox-Nutzer*innen in den USA hat Mozilla DoH bereits als Standard, für andere Regionen als Opt-in-Funktion eingeführt. Wir untersuchen derzeit, wie wir das Angebot über die Vereinigten Staaten hinaus ausweiten können. Im Einklang mit unseren Zielen und unserer Mission erhält jede*r Nutzer*in in den Ländern, in denen wir diese Funktion einführen, die ausdrückliche Wahl, DoH zu akzeptieren oder abzulehnen. Standardmäßig wird die Funktion zum Schutz von Privatsphäre und Sicherheit eingeschaltet sein.
Wichtig ist, dass DoH über die einfache Verschlüsselung von DNS-Suchen hinaus eine zusätzliche Schutzebene für den Nutzer*innen bietet: Unsere Implementierung beinhaltet ein Trusted Recursive Resolver (TRR)-Programm, nach welchem DoH-Anfragen nur an DNS-Anbieter weitergeleitet werden, die sich rechtlich bindend verpflichtet haben, zusätzliche Schutzvorkehrungen für Benutzerdaten zu treffen (z.B. die Datenspeicherung auf betriebliche Zwecke zu beschränken und Benutzerdaten nicht zu verkaufen oder an Dritte weiterzugeben). Die Bereitstellung von DoH durch Firefox ist außerdem so ausgelegt, dass die vom ISP angebotenen Dienste zur elterlichen Kontrolle (Parental-Control) respektiert werden, sofern die Nutzer*innen sich für solche entschieden haben. Unser Einsatz von DoH bietet zudem Möglichkeiten, mit unternehmensinternen Richtlinien konform zu gehen.
Die Kommentarperiode
Während wir untersuchen, wie wir die Vorteile von DoH noch mehr Nutzer*innen zugänglich machen können, starten wir parallel dazu eine Kommentarperiode. Dadurch wollen wir Ideen, Empfehlungen und Erkenntnisse sammeln, die uns dabei helfen, die Vorteile für Sicherheit und Privatsphäre unserer Einführung von DoH in neuen Regionen zu maximieren. Wir freuen uns auf die Beiträge aller, denen das Wachstum eines gesunden, die Rechte schützenden und sicheren Internets am Herzen liegt.
Details zur Kommentarperiode der Einführung von Mozilla DoH
- Dauer: Die weltweite öffentliche Kommentarphase wird insgesamt 45 Tage dauern. Sie beginnt am 19. November 2020 und endet am 4. Januar 2021.
- Beteiligung: Die Beteiligung steht all denen weltweit offen, die an einem sichereren, offeneren und gesünderen Internet interessiert sind.
- Fragen zur Beteiligung: Eine detaillierte Sammlung von Fragen als Rahmen für die Beteiligung finden Sie hier. Es müssen nicht alle Fragen beantwortet werden.
- Einreichen von Kommentaren: Alle Antworten können als Textdokument oder in Form eines PDFs an doh-comment-period-2020@mozilla.com gesendet werden.
Sofern der/die Autor/en der E-Mail eine Veröffentlichung nicht ausdrücklich ablehnen, werden alle seriösen Antworten auf unserem Blog öffentlich zugänglich gemacht.
Einreichungen, die gegen unsere Richtlinien für das Mitwirken in der Community verstoßen, werden nicht veröffentlicht.
Unser Ziel ist es, dass DoH für DNS genauso allgegenwärtig wird wie HTTPS für den Datenverkehr im Internet – unterstützt von ISPs, MNOs und Unternehmen weltweit. Das wird dabei helfen, sowohl die Endverbraucher als auch die DNS-Provider selbst zu schützen. Wir hoffen, dass diese öffentliche Kommentarperiode uns diesem Ziel näherbringt und freuen uns darauf, von Interessierten auf der ganzen Welt zu hören, die sich für die Erschaffung eines gesünderen Internets einsetzen.