Was ist Encrypted Client Hello (ECH) und warum ist es wichtig?

ECH ist eine Sicherheitsfunktion, die in Firefox und anderen großen Webbrowsern verfügbar ist und eine Lücke in der bestehenden Online-Datenschutz- und Sicherheitsinfrastruktur schließt, die es Dritten in einem Netzwerk – wie Internetdienstleistern (ISPs) und anderen Unbefugten – ermöglicht, die von einem Nutzer besuchten Websites einzusehen.

Wie aktivieren Sie ECH in Firefox?

Um ECH in Firefox zu nutzen, aktualisieren Sie Firefox, falls Sie nicht bereits Firefox-Version 118 oder höher verwenden und aktivieren Sie DNS über HTTPS (DoH).

Wie können Sie feststellen, ob ECH für Sie verfügbar ist?

In Firefox war ECH erstmals in Firefox-Version 118 verfügbar und ist ab Firefox-Version 119 und höher standardmäßig aktiviert. Allerdings funktioniert ECH nur, wenn DoH aktiviert ist. Hier erfahren Sie mehr über den Zeitplan zur Aktivierung von DNS über HTTPS (DoH).

Beeinflusst ECH die Geschwindigkeit Ihrer Internetverbindung?

Nein. ECH benötigt nur eine geringe Menge zusätzlicher Daten, die beim Herstellen der Verbindung zu einer Website abgerufen werden müssen. Diese Daten sind nur wenige hundert Byte groß und zu klein, um sich auf die Geschwindigkeit Ihrer Internetverbindung auszuwirken. Firefox ruft diese Daten gleichzeitig mit der DNS-Suche beim Herstellen der Verbindung zu einer Website ab und stellt dadurch sicher, dass bei der Verbindungsherstellung keine zusätzliche Verzögerung entsteht.

Beeinflusst ECH die Kompatibilität der Website?

ECH wurde sorgfältig entwickelt, um mit bestehenden Websites und Servern kompatibel zu sein. Bestehende Standards erfordern, dass Server das ECH-Protokoll ignorieren, wenn sie es nicht interpretieren können, und Firefox weiß, wie die Verbindung ohne Unterbrechung Ihres Surfens aufrechterhalten werden kann. Firefox-Entwickler haben eine Reihe von Studien und Tests durchgeführt, um sicherzustellen, dass Websites weiterhin ordnungsgemäß funktionieren.

Können Sie ECH neben anderen Sicherheitstools wie Werbeblockern nutzen?

Ja, ECH kann in Verbindung mit Werbeblockern verwendet werden. Werbeblocker, die als Erweiterungen in Firefox integriert sind, funktionieren automatisch mit ECH und erfordern keine Änderungen. Allerdings müssen Nutzer, die DNS-basierte Filterung verwenden, möglicherweise ihre Konfiguration ändern, wenn sie ECH verwenden möchten. Firefox muss mit einem DoH-Server konfiguriert sein, um ECH zu nutzen. Je nachdem, ob der DNS-Filter lokal oder von einem Online-Anbieter gehostet wird, unterscheiden sich die Anleitungen zur Verbindungsherstellung über DoH und die Nutzer dieser Dienste müssen die entsprechende Begleitdokumentation prüfen.

Können Sie ECH neben anderen Sicherheitstools wie VPNs nutzen?

Ja, die Kombination von ECH und einem VPN kann sogar eine zusätzliche Schutzstufe für Datenschutz und Sicherheit bieten. Um ECH mit einem VPN zu verwenden, muss in der Konfiguration der Schutzstufen von DNS über HTTPS (DoH) in Firefox als Schutzstufe die Option Erhöhter Schutz oder Maximaler Schutz gewählt werden. Dies liegt daran, dass die Option Standardschutz das DNS des VPN-Anbieters anstelle von DoH verwendet, um sicherzustellen, dass der Datenverkehr korrekt weitergeleitet wird. Bitte beachten Sie: Wenn VPNs in einer Unternehmensumgebung oder einer selbst gehosteten Umgebung verwendet werden, um sich mit Ressourcen zu verbinden, die im öffentlichen Internet nicht verfügbar sind, kann eine Änderung der DNS-Schutzstufe dazu führen, dass Firefox nicht auf diese privaten Ressourcen zugreifen kann.

Gibt es Datenschutzbedenken oder Beeinträchtigungen im Zusammenhang mit der Nutzung von ECH?

ECH ist ein wertvolles Werkzeug zur Stärkung Ihrer Privatsphäre und Sicherheit im Internet, da es bereits die ersten Verbindungen zu einer Website verschlüsselt. Es ist aber wichtig zu wissen, dass viele Websites möglicherweise noch nicht zur Unterstützung von ECH bereit sind. Das bedeutet, dass Verbindungen zu solchen Websites nicht vom zusätzlichen Datenschutz und der verbesserten Privatsphäre profitieren, die ECH bietet. Um geschützt zu bleiben, stellen Sie sicher, dass Ihr Firefox-Browser immer auf dem neuesten Stand ist und die neuesten Sicherheitsverbesserungen erhält, einschließlich ECH. Im Gegensatz zu Technologien wie VPNs leitet ECH Ihren Browserverkehr nicht um und bezieht auch keine Drittanbieter ein, sondern fügt Ihren Standardverbindungen einfach eine zusätzliche Verschlüsselungsebene hinzu.

Bemerken die Nutzer aufgrund dieser Verschlüsselung eine Veränderung im Surferlebnis?

Firefox-Nutzer sollten keinen Unterschied zu ihrem gewohnten Surferlebnis bemerken.

Wie wirkt sich ECH auf die Kindersicherung aus?

Bei Verwendung einer Kindersicherung ist die ECH-Verschlüsselung deaktiviert, um Störungen zu vermeiden.

Welche Auswirkungen hat ECH auf Unternehmen, die transparente Proxys verwenden?

Die ECH-Verschlüsselung wird automatisch deaktiviert, wenn Proxys oder Middleboxes erkannt werden, die der Browser als vertrauenswürdig einstuft. Unternehmen sind von der ECH-Verschlüsselung also nicht betroffen.

Wie interagiert ECH mit der Deaktivierung von DoH?

Durch die Deaktivierung von DoH wird die ECH-Verschlüsselung in Firefox standardmäßig deaktiviert. Die Deaktivierung kann von Ihnen selbst oder durch auf Ihrem Gerät installierte Software, durch Signale aus dem Netzwerk oder durch einen Administrator über Gruppenrichtlinien vorgenommen werden. Wenn der Nutzer oder Administrator ausdrücklich die Option Erhöhter Schutz oder Maximaler Schutz wählt, erhält diese Wahl Vorrang vor den Signalen aus dem Netzwerk.

Welche Websites können ECH nutzen?

Jede Website kann ECH nutzen, sofern sie über die erforderliche serverseitige Unterstützung verfügt. Der optimale Datenschutz wird meist erreicht, wenn mehrere Websites auf einem einzigen Webserver gehostet werden, eine gängige Praxis im heutigen Internet-Ökosystem.

Warum können Nutzer die ECH-Einstellungen nicht selbst konfigurieren?

Im Einklang mit seinem starken Engagement für Datenschutz und Sicherheit ist Mozilla bestrebt, Firefox standardmäßig mit einer Reihe umfassender und automatisch aktivierter Schutzfunktionen auszustatten. Deshalb ist ECH in Firefox zwar bereits aktiviert, wird jedoch nicht verwendet, wenn Kindersicherungen vorhanden sind oder Firefox auf Unternehmensebene konfiguriert wurde. Dies gleicht anderen Datenschutz- und Sicherheitstechnologien in Firefox wie z. B. dem Protokoll TLS 1.3, das ebenfalls nicht als benutzerdefinierte Einstellung vorhanden ist und deshalb vom Nutzer nicht selbst konfiguriert werden kann.

Kann ECH mit jedem DoH-Anbieter verwendet werden?

Ja. Alle DoH-Server, und zwar unabhängig davon, ob lokal gehostet oder über Internetdienste bereitgestellt, können zum Abrufen von ECH-Datensätzen verwendet werden.

Kann ECH auch ohne DoH verwendet werden?

Derzeit ist die Verwendung von ECH ohne DoH in Firefox nicht möglich. Die Funktionalität von ECH erfordert aktiviertes DoH, da dieser Dienst die erste Verbindung zu einer Website verschlüsselt, indem er die von DNS über HTTPS (DoH) bereitgestellten Verschlüsselungsschlüssel nutzt. Um ECH in Firefox verwenden zu können, muss deshalb auch zwingend DoH aktiviert sein.

Bitte bedenken Sie dabei, dass ohne aktiviertes DoH in Firefox die DNS-Abfragen in Ihrem lokalen Netzwerk nicht verschlüsselt sind und die Wahrscheinlichkeit einer Überwachung deshalb sehr hoch ist. Wenn Sie lieber einen lokalen DNS-Server verwenden möchten, können Sie selbst einen DoH-Dienst bereitstellen, der sicherstellt, dass sich die Verschlüsselung Ihres DNS-Verkehrs auch auf Ihr lokales Netzwerk erstreckt.

Warum ist ECH von DoH abhängig?

ECH basiert auf einem neuen Typ von DNS-Eintrag namens „HTTPS Resource Record“, der beschreibt, wie ECH zum Herstellen einer Verbindung zu einer Website verwendet wird. Damit ECH einen wirksamen Datenschutz gewährleisten kann, müssen diese Datensätze über eine verschlüsselte Verbindung abgerufen werden. Firefox nutzt hierfür DoH.

Die Entwickler bei Mozilla wissen, dass einige erfahrene Nutzer es vorziehen, ihren eigenen DNS-Resolver lokal zu hosten. In diesem Fall empfehlen die Entwickler, den DoH-Server selbst bereitzustellen und Firefox für die Verwendung zu konfigurieren. Dadurch wird sichergestellt, dass Ihr lokaler DNS-Verkehr zwischen Ihrem Client und Server verschlüsselt wird. Durch diese Verschlüsselung wird verhindert, dass andere Geräte in Ihrem lokalen Netzwerk Zugriff erhalten und diesen Verkehr überwachen. Alternativ können Sie Firefox über die Seite mit den DNS-Einstellungen so konfigurieren, dass er denselben Upstream-DNS-Server verwendet wie Ihr lokaler Resolver, sofern dies unterstützt wird.

Da sich die Unterstützung der Betriebssysteme für DoH und andere verschlüsselte DNS-Transportprotokolle ständig verbessert, untersuchen die Mozilla-Entwickler weiterhin Möglichkeiten und Techniken, die erforderlich sind, um den Abruf dieser Datensätze über das Betriebssystem zu unterstützen.

Wie stellen Sie fest, ob ECH bei Ihnen funktioniert?

ECH ist in der Browser-Benutzeroberfläche selbst nicht sichtbar, aber Sie können die Funktionalität mit dem Browsing Experience Security Check von Cloudflare prüfen.

Zusätzliche Informationen

• Informationen über „Encrypted Client Hello“ (ECH)
• Security/Encrypted Client Hello (englischsprachiges Dokument des Mozilla-Wikis für erfahrene Nutzer)
• DNS über HTTPS in Firefox
• Konfiguration der Schutzstufen von DNS über HTTPS (DoH) in Firefox