Da habe ich die Tage noch gedacht: „Eigentlich könntest Du ja mal wieder den Firefox installieren. Der soll ja gar nicht mehr so langsam sein und mit NoScript und uMatrix/Ghostery/uBlock Origin gibt es auch gute Privacy-Plugins“ Doch was musste ich dann gestern Abend lesen:
With their next patch Mozilla will introduce two new features to their Firefox browser they call „DNS over HTTPs“ (DoH) and Trusted Recursive Resolver (TRR). In this article we want to talk especially about the TRR. They advertise it as an additional feature which enables security. We think quite the opposite: we think it’s dangerous, and here’s why. (ungleich.ch)
Stimmt das alles was in dem Artikel steht oder sieht die Welt gar nicht so schlecht aus wie sie in dem Artikel dargestellt wird?
Mozilla und Cloudflare:
Mozilla hat sich mit Cloudfare zusammengetan und in den aktuellen Nightly Version von Firefox ein Feature eingebaut, dass die Adressen nicht mehr vom DNS eures Anbieters auflösen lässt, sondern die Anfrage der Namensauflösung an Cloudfare schickt, ein Unternehmen in den USA. Die Mozilla-Entwickler begründen die Entscheidung damit, dass nun alle DNS Anfragen über HTTPS versendet werden und das mehr Sicherheit für den Nutzer bringt. Die Abkürzung dafür ist DoH (DNS over HTTPS).
Viele Internet-Anbieter haben ihre eigenen DNS Server. Die Telekom, Vodafon, Proximus etc. Diese Server sind aber nicht immer die schnellsten und besten, und oft kann es zu Ausfällen kommen und dann funktioniert halt google.de und facebook.com nicht mehr. Das ist natürlich ärgerlich und viele Nutzer haben ihre DNS Einstellungen umkonfiguriert und nutzen seit langem schon 8.8.8.8 (Google Public DNS) oder seit kurzem die 1.1.1.1 (Cloudflare).
Ob du das nun gut oder schlecht findest, musst du für dich selbst entscheiden. Wem vertraust du mehr: Deinem ISP oder Google/Cloudflare? Wenn bei deinem ISP eingebrochen wird, dann bekommt der Einbrecher mehr als nur deinen Suchverlauf. Da sind dann auch noch Bezahldaten, Adresse, Telefonnummern, Geschlecht, Alter etc.. Wenn jemand bei Google Public DNS einbrechen sollte – was sehr unwahrscheinlich ist – dann bekommt er höchstens deinen Browserverlauf. Das Gleiche trifft auch auf Cloudflare zu.
Auf der einen Seite erhöht sich aber tatsächlich die Sicherheit in öffentlichen WiFi-Netzwerken wenn nicht die vom Netzwerk konfigurierten DNS Server benutzt werden. Denn wie soll Otto-Normalverbraucher schon feststellen, ob die Webseite seiner Hausbank nun tatsächlich auch die richtige, echte Website ist, die sich da hinter meinebank.de verbirgt.
We are running a shield study where some Nightly users will participate in one or more experiments to help us build out a secure, cloud-based service that handles DoH requests. All Nightly users will receive an in-product notification about these studies. (blog.nightly.mozilla.org)
Was aber an Firefox aka. Mozilla stört, ist die Tatsache, dass dieses „Trusted Recursive Resolver“ (TRR) eine Standardeinstellung werden soll. Immerhin werden alle Nutzer mit einem Opt-In darüber informiert. Allerdings bringt es einen faden Beigeschmack mit, wenn man sich in einem Unternehmensnetzwerken respektive in seinem lokalen Heimnetzwerk befindet und die internen Adressen erst an Cloudflare geschickt werden, bevor der eigene interne DNS Server die Anfrage gestellt bekommt.
Auch wenn Google und Cloudflare temporäre Daten nach 24h löschen und einige wenige anonymisiert dauerhaft speichern, kannst du nicht wissen, wo deine Daten am Ende des Tages wirklich landen. Wie oben schon erwähnt, muss sich jeder selbst die Frage stellen: Wem vertraue ich mehr: meinem ISP oder Cloudflare/Google?
Abschalten:
- Im Firefox in der Adresszeile about:config eingeben
- Suche nach network.trr
- Setze den network.trr.mode = 5 um den TRR zu deaktivieren
Der Modus 5 bedeutet:
Change network.trr.mode to 2 to enable DoH. This will try and use
DoH but will fallback to insecure DNS under some circumstances like
captive portals. (Use mode 5 to disable DoH under all circumstances.)
(usejournal.com)
Was die anderen Modi sind, kann auf usejournal.com nachgelesen werden.
Alternativen:
Als Alternative zu den großen DNS Anbietern gibt es ein paar kleine und zuverlässige DNS Server die die Privatssphäre respektieren. Da wäre zum einen der DNS Server von
Wer unbedingt einen DNS Server mit aktiviertem DNSSEC benuzten will kann das natuerlich auch.
- Chaos Computer Club unter 194.150.168.168 und den von
- DNS.WATCH unter 84.200.69.80, 84.200.70.40
(bzw. IPv6: 2001:1608:10:25::1c04:b12f, 2001:1608:10:25::9249:d69b)
Unbound DNS Server für den eigenen Rechner. Es gibt Pakete für macOS, Linux und Windows.
Oder einen der vielen OpenNIC DNS Server: OpenNIC.org. Hier kann man sich auch seinen eigenen kostenlose TopLevel Domain aussuchen. Diese ist allerdings nur dann erreichbar, wenn ihr die OpenNIC DNS Server verwendet.
Fazit:
Ich habe schon sehr lange die DNS Server vom CCC und von Digitalcourage in Verwendung. Mit einem raspberryPi und dem Pi-hole-Project habe ich auch keine Probleme mit Werbung. Natürlich sind die DNS Server nicht die schnellsten, doch ich verzichte gerne auf ein klein wenig Geschwindigkeit für das Quäntchen mehr Privatsphäre im Netz. Und um die Frage von ganz am Anfang zu beantworten: Ja ich werde jetzt mal eine Weile den Firefox benutzen. Chrome ist zwar schick und schnell, aber ab und zu tut ein Wechsel auch mal gut.
Weitere Informationen und Quellen: