Seit mehr als zwei Jahren setzt sich Mozilla für den verschlüsselten Standard DNS-over-HTTPS (DoH) ein, nun wird das Protokoll in den USA standardmäßig aktiviert. In Europa können es Nutzer manuell in den Einstellungen auswählen. Es stehen derzeit Cloudflare und NextDNS als Resolver zur Auswahl.

"Der Rollout wird sukzessiv über die nächsten Wochen erfolgen, um sicherzustellen, dass keine größeren Probleme auftreten, während das neue Protokoll für Firefox-Nutzer in den USA freigeschaltet wird", schreibt Mozilla in einem Blogpost. Außerhalb der USA lässt sich DoH in den allgemeinen Einstellungen auswählen: dort unter den Verbindungs-Einstellungen. Klickt man DNS-over-HTTPS an, laufen die Anfragen standardmäßig über den DoH-DNS-Server von Cloudflare. Hier lässt sich jedoch manuell auch NextDNS anwählen. Der zweite Anbieter steht seit der aktuellen Version Firefox 73 zur Verfügung.

Vorwurf: Probleme durch DoH nur verlagert

Dass DoH zum Standard in Firefox wird, hatte Mozilla bereits im September angekündigt. Es folgte Kritik wegen der Zusammenarbeit mit Cloudflare. Da dort zunächst alle Domain-Auflösungen abliefen, hieß es, könnte der Anbieter die Anfragen zu eigenen Geschäftszwecken auswerten – und damit die Privatsphäre gefährden. Um dem zu entgegnen sollen neben den zwei bereits jetzt aktiven DNS-Resolvern bei Firefox weitere hinzukommen. Zudem können Anwender auch einen benutzerdefinierten Anbieter selbst anlegen.

Gegen die Konzentration auf wenige neue Plattformen – neben Cloudflare etwa auch Quad9 und Google – wenden sich vor allem die bisherigen DNS-Betreiber wie Comcast oder die Deutsche Telekom. Sie glauben, das könnte Angreifern auf anderem Wege in die Hände spielen. In Googles Browser Chrome lässt sich entsprechend DoH via hauseigenem DNS-Server aber auch von weiteren Anbietern auswählen.

Mozilla sieht eine größere Gefahr durch unverschlüsselte Anfragen selbst. "Aufgrund der fehlenden Verschlüsselung können andere Geräte Nutzerdaten sammeln oder sogar blockieren und verändern. Die DNS-Suchen werden an Server weitergeleitet, die ihren Browserverlauf ausspähen können, ohne Sie zu informieren oder Richtlinien darüber zu veröffentlichen, was sie mit diesen Informationen tun." DNS-Suchen in Firefox werden daher über eine verschlüsselte HTTPS-Verbindung durchgeführt. Dadurch soll der Browserverlauf vor Angreifern versteckt sowie die Sammlung von Daten, die mit dem Computer des Nutzern verknüpft werden könnten, durch Drittanbieter verhindert werden.

(emw)