Die Modelle für ein Datenschutz-freundlicheres Domain Name System spalten das Netz: DNS-Software- und -Diensteanbieter werfen der Browser Community vor, durch den Einsatz von DNS über HTTPS (DoH) massiv Datenverkehr an sich zu ziehen und die Konzentration zentraler Netzdienste voranzutreiben. Vertreter des Content-Delivery-Dienstleisters Cloudflare, der gemeinsam mit Mozilla bei DoH den Anfang machte, sprechen von einer Art Verzweiflungstat, weil die DNS-Gemeinde jahrelang eine Reform des überalterten Systems versäumt habe.

Obwohl es den von DNS-Software-Herstellern mitentwickelte DoT-Standard (DNS over TLS) schon ein paar Jährchen länger gibt, sieht es derzeit so aus, als hätten die großen Browser-Firmen und Dienstleister wie Cloudflare mit DoH die Nase vorn. Mozilla kündigte im September an, DoH weiter zu verfolgen. Vor allem der von Experten wie Sara Dickinson von Sinodun erwartete Einstieg des Chrome-Browsers im Zusammenspiel mit Googles Public-DNS-Resolvern könnte kleinen, klassischen DNS-Providern die Luft abschnüren.

Bei DNS over HTTPS bilden Mozilla, Hersteller des Firefox-Browsers, und der große Content-Delivery-Dienstleister CloudFlare eine Allianz. Sie bekommt noch viel mehr Gewicht, falls Google mit seinem Chrome-Browser und seinem DNS-Servernetz einsteigt. (Bild: Sara Dickinson, Sinodun )

Beim laufenden Treffen der IP-Adressvergabestelle RIPE sowie auf dem vorangegangenen DNS-OARC-Workshop in Amsterdam war die DNS-Zäsur zentrales Gesprächsthema. Beide Standards können die bislang offen zugänglichen DNS-Anfragen von Nutzern vor den Augen Neugieriger verbergen. Während die Einführung von DoT die Kooperation von DNS-Software-Providern, DNS-Diensteanbietern und Betriebssystem-Herstellern erfordert, können die Giganten DoH mehr oder weniger im Alleingang ausrollen. Manche Stimmen mahnen, dass so auch ein einheitlicher, hierarchischer Namensraum – und damit die private Netzverwaltung ICANN – obsolet werden könnte.

Kaputte Implementierungen, Konzentration auf wenige DoH-Server

DNS-Experten kritisieren einerseits, dass das von den Giganten gepushte DoH eine Reihe etablierter DNS-Techniken breche, etwa Split DNS. Unternehmen und Organisationen, die DNS-Verkehr aus dem eigenen Haus unter eigener Kontrolle halten wollen, müssten sich bewusst werden, dass die DNS-Anfragen aus den Browsern ihrer Mitarbeiter gar nicht mehr an die eigenen Resolver gehen.

Gegen die DoH-Allianz beim Browser hat DNS over TLS einen schweren Stand, auch wenn zwei große DNS-Betreiber DoT schon anbieten und die Technik bereits in manchen Betriebssystemen steckt. (Bild: Sara Dickinson, Sinodun )

Vor allem aber wird es für den Endnutzer noch unübersichtlicher als zuvor, wer eigentlich seine DNS-Anfragen sieht. Denn das ist nun nicht unbedingt mehr sein eigener Provider, die Anfragen können auch via Chrome in Googles Datennetz landen. Wechselt er zu Mozilla, laufen sie dagegen zu Cloudflare, das immerhin lautstark versichert, keinerlei Informationen zu sammeln und alle DNS-Logs innerhalb von 24 Stunden zu vernichten.

Cloudflare sieht sich im Wettbewerb mit Google und will seinen DoH-Dienst perspektivisch auch für Unternehmen anbieten. Jede einzelne App kann künftig die DNS-Auflösung nach Bedarf an sich ziehen, ohne dass der Nutzer das mitbekommt. Durch die zusätzlichen Resolver-Funktionen wird es auch aufwendiger, Fehlern auf den Grund zu gehen. Aufzuhalten sei diese Entwicklung, die DNS mindestens in Teilen zu einer App degradiert, kaum, sagte Dickinson. Es werde nicht leicht, sich wieder zusammenzuraufen, bedauerte Ondrej Surj, Entwickler bei BIND, den Kampf um die Zukunft des DNS. (ea)