DNS over HTTPs in Firefox deaktivieren

Lesedauer: ~3 Minuten

Tl;dr:

about;config -> network.trr.mode auf 5 setzen.

Lange Version mit Erklärung:

Mozilla plant DNS over HTTPs (DoH) einzuführen. Dies ist nun erst einmal gar keine schlechte Sache. Immerhin ist DNS zur Zeit einer der unsichersten Protokolle und lädt zum einfachen spionieren und sogar DNS-Hijacking ein. DoH ist einer der Versuche diesen Problemen entgegen zu wirken und die DNS-Anfragen zu verschlüsseln. Somit wissen dann nur der DNS-Server und man selbst, welche Adresse man angefragt hat. Und hier kommen wir nun zum Problem: Mozilla möchte im Firefox-Browser nicht nur DoH einführen, sondern auch den so genannten Trusted-Recursive-Resolver (TRR). Aktueller Aufbau von DNS-Verbindungen

Mithilfe von TRR, hinterlegt Mozilla in Firefox einen festen DNS-Server, zudem zukünftig alle Anfragen geschickt werden. Die jeweiligen Einstellungen des Betriebssystems werden dabei ignoriert. Normalerweise wird der DNS-Server des jeweiligen Internet Service Providers (ISP) genutzt und somit bleibt der Datenverkehr zwischen dem Anwender und dem ISP. Da die ISPs eh bereits wissen, welche Seiten aufgerufen werden, spielen für sie die Daten des DNS eigentlich keine Rolle und es lassen sich dadurch keine neuen Informationen gewinnen. Zusätzlich sitzen unsere ISPs auch in Deutschland und sind damit auch an die deutschen Datenschutzgesetze, bzw. nun auch an die neue Datenschutzgrundverordnung gebunden. Statt, dass weiterhin der DNS-Server des ISP genutzt wird, plant Mozilla, alle DNS-Anfragen an die Firma Cloudflare in den USA zu senden. Dies kann nicht nur in Firmennetzwerken ein Problem sein, die ihren eigenen DNS-Server betreiben, sondern stellt auch ein großes Problem im Bereich des Datenschutzes dar. DoH mit TRR, so wie Mozilla es vorgesehen hat

Anstatt, dass nun der ISP die DNS-Anfragen beantwortet, welche eh bereits die Daten über aufgerufene Adressen hat, bekommt diese Daten nun eine Firma in den USA. Und zwar von allen Firefox Nutzern. Zwar versichert Mozilla, dass sie ein spezielles Datenschutzabkommen mit Cloudflare getroffen haben, dies bedeutet aber im Angesicht von Geheimdiensten und National Security Letters in den USA wenig. Gerade letzteres wird gerne mal verwendet, um Informationen von IT-Firmen zu erhalten. Somit präsentiert man diese Informationen der USA quasi auf dem Silbertablett. Mozilla verbreitet diese Praktiken unter dem Slogen von „verbesserter Security“.

Wer nicht möchte, dass es zum Einsatz des TRR kommt, sollte frühzeitig handeln. Die entsprechende Einstellung lässt sich bereits jetzt in Firefox deaktivieren, bevor dann in einer späteren Version von Firefox DoH mit TRR für alle User eingesetzt wird. Hierzu gibt man in der Adresszeile von Firefox about:config ein. Hier sucht man nun nach network.trr.mode und setzt den Wert auf 5. Damit ist dies deaktiviert.