Sie beginnen gerade, sich mit DNS über HTTPS (DoH) zu beschäftigen? Diese Zusammenstellung beantwortet häufig gestellte Fragen (FAQs), sie unterstützt und erleichtert damit die Verwendung von DNS über HTTPS (DoH), das zum Schutz Ihrer Privatsphäre beiträgt. Weitere Informationen erhalten Sie im Artikel DNS über HTTPS in Firefox.

Funktionsweise von DNS über HTTPS (DoH) für Firefox-Nutzer mit Sitz in Ländern, in denen DoH durch Mozilla bereits standardmäßig aktiviert ist

Wie lauten die Datenschutzbestimmungen für DNS über HTTPS?

Die Implementierung von DoH ist ein Teil von Mozillas Bemühungen, die Nutzer vor dem allgegenwärtigen Online-Tracking personenbezogener Daten zu schützen. Deshalb verlangt Mozilla von allen DNS-Anbietern, die in Firefox ausgewählt werden können, die Einhaltung seiner Richtlinie „DOH Resolver Policy“ durch einen rechtsverbindlichen Vertrag. Die hohen Anforderungen in dieser Richtlinie regeln und beschränken die Art der Daten, die erfasst werden dürfen, den Umgang der Anbieter mit diesen Daten und die Dauer der Datenaufbewahrung. Der strenge Maßstab, der diesen Anforderungen zugrunde liegt, dient dem Schutz der Nutzer und soll verhindern, dass die Anbieter deren Daten sammeln und finanziellen Vorteil daraus ziehen.

Werden Nutzer gewarnt, wenn DoH aktiviert ist, und wird eine Möglichkeit zum Deaktivieren angeboten?

Ja. Ein Hinweis öffnet sich in Firefox und wird erst wieder ausgeblendet, nachdem der Nutzer eine Entscheidung über das Aktivieren oder Deaktivieren des DNS-Datenschutzes getroffen hat.

Können die Nutzer DoH deaktivieren?

Ja. Nutzer können DoH in Firefox deaktivieren, ihren eigenen DoH-Anbieter wählen und in den Firefox-Einstellungen im Abschnitt Datenschutz & Sicherheit andere Änderungen der Konfiguration vornehmen, wie im Artikel Konfiguration der Schutzstufen von DNS über HTTPS (DoH) in Firefox beschrieben. Ja. DoH kann in Firefox über die Verbindungs-Einstellungen deaktiviert werden. Nutzer können – wie hier beschrieben – DoH manuell deaktivieren und/oder ihren eigenen DoH-Anbieter wählen.

Können Nutzer sich vorzeitig abmelden?

Ja. Setzen Sie im Konfigurationseditor für Firefox (about:config) den Wert der Einstellung network.trr.mode auf 5. Weitere Informationen zu den Modi erhalten Sie auf der englischsprachigen Seite Trusted Recursive Resolver des Mozilla-Wikis.

Wie wirkt sich DoH auf Unternehmen mit benutzerdefinierten DNS-Lösungen aus?

Unternehmen und Organisationen können diese Funktion sehr einfach deaktivieren. Außerdem erkennt Firefox, ob auf dem Gerät Unternehmensrichtlinien festgelegt sind, und wird DoH in diesem Fall automatisch deaktivieren. Wenn Sie als Systemadministrator Informationen zum Konfigurieren von Unternehmensrichtlinien benötigen, lesen Sie bitte die Artikel in unserer Richtlinienübersicht.

Wie wirkt sich DoH auf die Kindersicherung aus?

Wir wissen, dass einige Internetdienstanbieter (ISPs) DNS verwenden, um einen Kindersicherungsdienst anzubieten, der nicht jugendfreie Inhalte blockiert. Mozillas ist der Meinung, dass DNS nicht der beste Ansatz für eine Kindersicherung ist, möchte andererseits aber auch keine bestehenden Dienste außer Kraft setzen oder seine Funktion behindern. Deshalb testet Firefox bestimmte Funktionen mithilfe sogenannter „Canary Domains“ und aktiviert DoH nicht, wenn bei einem der Funktionstests mit den „Canary Domains“ eine aktivierte Kindersicherung entdeckt wird. Weitere Informationen erhalten Sie im englischsprachigen Blogbeitrag von Mozilla.

Können Netzwerke nicht grundsätzlich nur die Prüfung mithilfe von „Canary Domains“ auslösen und DoH deaktivieren?

Ja. Die Verwendung von „Canary Domains“ ist ein gutes Instrument und bietet die höchste Sicherheit, um Angreifer im Netzwerk abzuwehren und Beschädigungen bestehender Einrichtungen zu verhindern. Wir werden den Einsatz von „Canary Domains“ überwachen, jeden Richtlinienverstoß untersuchen und geeignete Maßnahmen zur Eindämmung solcher Vorfälle prüfen.

Gibt es Probleme mit Content Delivery Networks (CDNs) bei Verwendung von DoH?

Wir wissen, dass einige CDNs eine DNS-basierte Verkehrssteuerung verwenden, die von DoH betroffen sein kann. Unsere Messungen zeigen jedoch, dass die Ladezeiten für DoH-Seiten durchaus mit den normalen DNS-Seitenladezeiten vergleichbar sind. Während und nach der Einführungsphase überwachen wir die Leistung von Firefox auf mögliche Mängel.

Wie geht Firefox mit Split-Horizon-DNS um?

Wenn Firefox eine Domain nicht über DoH auflösen kann, wird auf DNS zurückgegriffen. Das bedeutet, dass alle Domains, die nur im normalen DNS verfügbar sind (weil sie nicht öffentlich sind), auf diese Weise aufgelöst werden. Wenn Sie eine Domain haben, die zwar öffentlich aufgelöst werden kann, aber intern anders aufgelöst wird, sollten Sie DoH mithilfe von Unternehmenseinstellungen deaktivieren.

Validieren Sie DNSSEC?

DNSSEC stellt sicher, dass DNS-Antworten während der Übertragung nicht manipuliert wurden, verschlüsselt jedoch keine DNS-Anfragen und Antworten. Zum Schutz der Nutzer haben wir die Verschlüsselung von DNS mithilfe von DoH bevorzugt. Wir erwägen die Implementierung von DNSSEC zu einem späteren Zeitpunkt.

DNS über HTTPS-Partnerschaften

Welchen Resolver wird Firefox verwenden?

In jedem Land, in dem DoH eingeführt wird, bietet Mozilla einen Standard-Resolver an (in den USA wurde z. B. Cloudflare als Standard-Resolver festgelegt). Alternativ können die Nutzer auch aus der Liste der zusätzlichen Anbieter unseres Trusted Recursive Resolver Programms (TRR-Programm) wählen. Die Aufnahme in dieses Programm erfordert die konsequente Einhaltung unserer Richtlinien bezüglich Datenschutz und Sicherheit der Nutzer. Mozilla plant, nach und nach weitere Anbieter in das Trusted Recursive Resolver Programm aufzunehmen. Außerdem ist es unsere Vision, dass DoH von allen DNS-Resolvern weltweit übernommen und unterstützt wird.

Wie wählt Mozilla seine vertrauenswürdigen Resolver aus?

Mozillas Standard-Resolver erfüllen die hohen Anforderungen unserer derzeit geltenden strengen Richtlinien. Die Anforderungen werden in rechtsverbindlichen Verträgen festgeschrieben und in erstklassigen Datenschutzerklärungen veröffentlicht, in der diese Richtlinien dokumentiert und für die Nutzer transparent gemacht werden.

Wird Mozilla dafür bezahlt, DNS-Anfragen an seine Standard-Resolver weiterzuleiten?

Nein. Mozilla erhält keine Zahlung für die Weiterleitung von DNS-Anfragen an seine Standard-Resolver.

Werden diese Daten von Mozilla oder seinen Standard-Resolvern monetarisiert?

Nein. Unsere Richtlinien verbieten ausdrücklich die Monetarisierung dieser Daten. Die Funktion soll unseren Nutzern wichtigen Datenschutz bieten und es den bestehenden DNS-Resolvern erschweren, sich mit den DNS-Daten der Nutzer finanzielle Vorteile zu verschaffen.

Weitere Informationen zur Implementierung von DNS über HTTPS (DoH) in Firefox

Wie ist der Zeitplan zur Aktivierung von DNS über HTTPS (DoH)?

Die standardmäßige Einführung des DoH-Protokolls für Firefox-Nutzer erfolgte in den USA im Jahr 2019, in Kanada im Jahr 2021, in Russland und der Ukraine im März 2022. Die standardmäßige Aktivierung von DoH in weiteren Ländern ist geplant.

Wird DOH als Standard auch in Europa eingeführt?

Unsere Strategie ist die sorgfältige Messung, Beobachtung und Beurteilung der Vorteile und Auswirkungen von DoH. Derzeit ist diese Funktion als Standard nur bei Nutzern in Russland, der Ukraine sowie den USA und Kanada aktiviert.

Warum implementiert Firefox DoH und nicht DoT?

Die IETF standardisierte zwei sichere Übertragungsprotokolle („DNS over secure transport protocols“): DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT). Beide Protokolle besitzen weitgehend ähnliche Eigenschaften bezüglich Sicherheit und Datenschutz. Wir haben uns für DoH entschieden, da es unserer Meinung nach besser zum bereits bestehenden, ausgereiften und auf HTTP konzentrierten Protokollstapel (network stack) unseres Browsers passt und stärker zukünftige Protokollfunktionen wie HTTP/DNS-Multiplexing und QUIC unterstützt.

Ist DoT für Netzbetreiber leichter zu erkennen und zu blockieren?

Ja. Wir finden nicht, dass dies ein Vorteil ist. Firefox stellt den Netzbetreibern bestimmte Mechanismen zur Verfügung, die signalisieren, dass berechtigte Gründe zur Deaktivierung von DoH vorliegen. Wir halten das Blockieren der Verbindung zum Resolver für keine angemessene Reaktion.

Gibt nicht die Server Name Indication (SNI) die Domainnamen preis?

Ja. Obwohl nicht alle Domainnamen durch SNI weitergegeben werden, sind wir besorgt über SNI-Lecks und haben begonnen, an der Verschlüsselung (Encrypted SNI) zu arbeiten.

Was sind „DoH heuristics“?

Dabei handelt es sich um eine Reihe von Prüfungen, die Firefox vor der standardmäßigen Aktivierung von DoH für Nutzer in Regionen durchführt, in denen DOH bereits eingesetzt wird. Dadurch soll festgestellt werden, ob durch die Aktivierung von DoH negative Auswirkungen zu erwarten sind. Diese Prüfungen werden ignoriert, wenn der Nutzer DoH selbst aktiviert hat. DoH bleibt z. B. deaktiviert, wenn Unternehmensrichtlinien oder Kindersicherungen aktiviert sind. Weitere Informationen erhalten Sie auf der englischsprachigen Seite Security/DNS Over HTTPS/Heuristics des Mozilla-Wikis und dem Artikel Netzwerkkonfiguration zum Deaktivieren von DNS über HTTPS (DoH).