DNS over HTTPS eine Gefahr für den Datenschutz?

Tags: #<Tag:0x00007f086fdaa998>

Im Moment sind ja die Browser Hersteller dabei die Namensauflösung von Domains über das DNS Protokoll auf verschlüsseltes SSL/TLS umzustellen. Zum einen ist das zwar wünschenswert da es den Datenschutz erhöhen kann wenn diese Abfragen nicht mehr im Klartext sondern verschlüsselt erfolgen. Bisher wird die Auflösung von Domainnamen hin zu einer IP Adresse über die verschiedenen Internetprovider geregelt.

Nun ist ja der Plan z.B. von Firefox diese Abfragen nicht mehr wie bisher über die lokalen Internetprovider laufen zu lassen sondern über den Amerikanischen Cloudkonzern Cloudflare. Das würde heisen das dieser dann (theorethisch) alle abgerufenen Webseiten bzw. Domains aufzeichnen könnte und mit der NutzerIP in verbindung bringen kann. Bzw. vielleicht sogar müsste sollte er von irgendeinem US Geheimdienstgericht dazu verpflichtet werden.

D.h wäre die Zentralisierung aller DNS Abfragen zu ein par wenigen großen Cloud Anbietern aus sicht des Datenschutzes zumindest mal potentiell sehr bedenklich da es technisch gesehen durch die zentralisierung die Massenüberwachung zumindest mal (trotz der Verschlüsselung) vereinfachen würde.

Wie seht ihr das vom technischen und politischen Aspekt her ? Wäre es hier notwendig gesetzgeberisch einzugreifen ?

Zunächst mal wäre die Frage ob nicht Provider Verschlüsselung auch für ihre DNS-Dienste anbieten können. DNS über HTTPS geht ja nur im Browser aber es gibt ja auch andere Netzdienste.

Besser wäre ein Universeller - Standard, aber der ist nicht gewünscht, weil die Polizei und Geheimdienste ihre Metadaten verlieren könnten.

Höchst gefährlich.

Begründung: Damit schleicht sich jede DNS-Abfrage über Port 443 hinaus und der Aufwand zum filtern wird damit unmöglich. Wie will man verschlüsselte Kommunikation untersuchen? Das führt zu DNS Servern, die damit nicht mehr frei wählbar sind. Das führt zu DNS Servern, die ich nicht mehr beeinflussen kann. Sei es als automatischer Werbeblocker usw.

Auch eigene DNS-Zonen würden damit erschwert, fiele DNS dem HTTPS zum Opfer.

Auch DNS-Abfragen lassen sich für Tracking nutzen.

DNS over HTTPS ist das schlimmste was dem Internet passieren kann. Es verbiegt jede Kommunikation.

Da bin ich mit dir einer Meinung, eine gefährliche Zentralisierung. Wäre es evtl eine Lösung den Browser Herstellern per Default gesetzlich vorzuschreiben den DNS des Betriebsystems bzw. lokalen Internetproviders zu benutzen ?

Ich bin mit den Regeln jetzt nicht so vertraut, aber eine Regulierung innerhalb der EU wäre hier schon angebracht. Wenn ich mir überlege was auf diesem Digital Gipfel so alles erörtert worden ist? Oder diese Europäische Cloud? (Gaja X)

Das gibt den Browserherstellern eine massive Macht in die Hand.

Ich denke EU wäre der richtige Platz.

1 Like

Ich sehe das Problem nicht. Nur weil mein einen Security layer hinzufügt muss es ja nicht zwangsläufig zentralisiert werden. Ich kann ja weiterhin jeden Nameserver nutzen der halt entsprechend TLS unterstützt. Mozilla wird sicher auch nicht die Möglichkeit nehmen diesen selbst einzustellen.

DNS Server kannst du auch ohne Verschlüsselung nicht beeinflussen. Du verlierst die Möglichkeit den Traffic im Netz zu unterbinden, musst es also auf dem Endgerät tun. Es gibt aber auch technisch unschöne Methoden das dennoch im Netz zu unterbinden, setzten Unis und Unternehmen ein.

Aha? Und was ist mit Pi-Hole zum Beispiel?
Oder ein eigener DNS-Server - zu Hause unter eigener Kontrolle mit eigener TLD, Sperrliste usw.?

Wenn DNS-Server im jeweiligen Programm eingetragen werden müssen und nicht per Richtlinie und DHCP übertragen und genutzt werden, ist jedem dummen Programm künftig erlaubt sein eigenes DNS over HTTPS zu machen. Kontrolle über die Hard- oder Software? Die findet damit nicht mehr statt, weil das schlicht unkontrollierbar da viel zu unübersichtlich wird.

Updates von Programmen? Wer kontrolliert denn jedes Mal ob nicht auch der DNS wieder neu gesetzt worden ist?

Bei uns zu Hause lässt der Router keinerlei DNS-Abfragen ins Internet zu. Es ist nur der interne DNS erlaubt. Da man Port 443 benötigt, wird jede Kommunikation am DNS vorbei geleitet. Herzlichen Dank.

Ich halte das für einen Elementaren Fehler im System!

Nachtrag:
Die meisten Betriebssysteme reagieren automatisch ja nicht mal mehr auf NTP - Zeitserver - die per DHCP übertragen werden. Jeder einzelne Rechner muss konfiguriert werden. Das war "früher " ™ mal anders. Die Gefahr dass das mit DNS over HTTPS genau so laufen wird, ist nicht von der Hand zu weisen.