DNSSEC statt DoH für ein weiterhin freies Internet

Lutz Donnerhacke bringt in seinem Kommentar bei Heise auf den Punkt, warum DNS over HTTPS ein Scheiss ist:

Das Internet basiert auf zwei grundsätzlichen Prinzipen: Dezentralität und Interoperabilität. Internet ist das genaue Gegenteil von großen, zentralen Plattformen. Es ist die große, weite Landschaft, nicht der eingezäunte Garten.

Ich hoffe, die besinnen sich bei Mozilla noch eines Besseren.

Eine weitere Stimme zum Thema ist Geoff Huston in seinem Blog, siehe DOH! und Diving into the DNS.

Dan Bernstein wiederum entwickelt DNSCurve als Gegenentwurf zu DNSSEC.

Siehe auch im Allgemeinen Komplexität ist der Feind.

Die ganze Angelegenheit ist also etwas unübersichtlich…

Nachtrag vom 01.04.2019: Mozilla hält mit Einschränkungen nach wie vor an DNS over HTTPS fest. Und aus Security-Perspektive ist natürlich klar, dass DNS over HTTPS die Angriffsfläche massiv erhöht.

Nachtrag vom 17.04.2019: Sehenswerte heiseshow zum Thema: Sicherheit und Datenschutz – Was passiert mit dem DNS?

Weiterer Nachtrag vom 17.04.2019: Geoff Huston hat in seinem Blog noch mal nachgelegt mit More DOH. Und die Überschrift dieses Beitrags ist ziemlich daneben, müsste eigentlich “DNS over TLS (DoT) statt DoH für ein weiterhin freies Internet” heissen, denn DNSSEC setzt ja an einer ganz anderen Stelle an als diese beiden Protokolle.

Nachtrag vom 26.04.2019: Bei DNS Privacy findet ihr eine gute Übersicht über die verschiedenen Verfahren.

Nachtrag vom 04.07.2019: Zu Risiken und Nebenwirkungen von DoH lesen Sie Heise – Godlua: Hacker verstecken Malware-Traffic im DNS-over-HTTPS-Protokoll.

Nachtrag vom 07.07.2019: Hanno Böck klärt auf über den vermeintlichen DoH-Malware-Traffic: Falschmeldung in Propagandaschlacht um DNS über HTTPS. Der Kritikpunkt, dass DoH übermäßige Komplexität mit sich bringt, bleibt allerdings bestehen. Und ich zitiere Fefe zu dieser Angelegenheit:

Also, nochmal zum Mitmeißeln. DOH ist schlecht, weil es so furchtbar komplex ist, nicht weil Malware darüber reden könnte. DOH zu Cloudflare ist schlecht, weil Cloudflare alle Nase lang irgendwelche katastrophalen Ausfälle hat, und weil zentralisiertes DNS-Routing für die Dienste das Abschnorcheln zu einfach macht. Und hört endlich auf, Malware zu analysieren, was sie nach der Infektion macht. Nach der Infektion ist es zu spät. Findet lieber raus, wie die Malware auf das System kommen kann, und macht das zu.

Nachtrag vom 01.01.2020: Beim 36C3 gab’s nen Vortrag von Sebastian Grüner zum Thema, Encrypted DNS? D’oh! - The Good, Bad and Ugly of DNS-over-HTTPS (DoH). Der Hauptgrund für DoH war offenbar, Zensur zu vermeiden. Das ist ja an sich ein lobenswertes Anliegen, aber dafür so einen Berg von Komplexität aufzuhäufen? Mich überzeugt es immer noch nicht.

Diese Liste von öffentlichen DoH-Servern (sogar mit einem Skript um da die Server-URLs rauszukratzen) zeigt immerhin, dass das Protokoll nicht zwangsläufig zu Zentralisierung führen muss. Hoffentlich wird sie mit der Zeit noch deutlich länger. Der Server der Digitalen Gesellschaft Schweiz ist dabei für mich ein heißer Kandidat. Beim traditionellen DNS nutze ich ja schon seit Jahren Server von CCC und Digitalcourage.

In Firefox kann man einen beliebigen DoH-Server einstellen.

Einen unbestreitbaren Nachteil hat DoH: Ein Bug in OpenSSL hat damit noch schwerwiegendere Folgen als er ohnehin schon hat. Das gilt natürlich auch für andere TLS-Libraries, aber OpenSSL ist die bei weitem am häufigsten eingesetzte. Das gilt übrigens 1:1 auch für DoT.

Den erwähnten Vortrag von Paul Vixie werde ich mir bei Gelegenheit auch noch anschauen & dann auch Geoff Hustons Kommentare dazu lesen.

Übrigens schrieb Sebastian Grüner am 23.12. noch selber bei Golem DoH-Pakete lassen sich erkennen und blockieren.

Für mich als Admin eines kleinen Netzwerks kommt es auch sehr darauf an, wie die IETF-Arbeitsgruppe Applications Doing DNS (add) das Split-Horizon-Problem zu lösen gedenkt. Am 23. Juni 2019 haben sie sich dazu getroffen:

Weitere relevante IETF-Arbeitsgruppen sind DNS PRIVate Exchange (dprive), Domain Name System Operations (dnsop) und, obviously, DNS Over HTTPS (doh).

In dem Zusammenhang habe ich mich auch das erste Mal mit Server Name Indication (SNI) beschäftigt, was ja auch für Domain Fronting benutzt wird. Dabei wird die Anfrage nach dem Host unverschlüsselt gesendet; auch hier arbeitet die IETF an einer verschlüsselten Variante ESNI.

Und ich habe zum ersten Mal von TSIG gehört, noch einem DNS-Feature zur Sicherstellung von Authentizität und Integrität der DNS-Nachrichten.

Nachtrag vom 28.01.2020: Den Dissertationspreis der Gesellschaft für Informatik hat 2014 Dr. Dominik Herrmann gewonnen für seine Dissertation Beobachtungsmöglichkeiten im Domain Name System: Angriffe auf die Privatsphäre und Techniken zum Selbstdatenschutz. Das war noch vor DoH.

Nachtrag vom 06.04.2020: Gentoos Position dazu sieht folgendermaßen aus:

  • Note regarding Trusted Recursive Resolver aka DNS-over-HTTPS (DoH):
  • Due to privacy concerns (encrypting DNS might be a good thing, sending all
  • DNS traffic to Cloudflare by default is not a good idea and applications
  • should respect OS configured settings), “network.trr.mode” was set to 5
  • (“Off by choice”) by default.
  • You can enable DNS-over-HTTPS in Firefox’s preferences.

Ausserdem:

  • Upstream operates a service named Normandy which allows Mozilla to
  • push changes for default settings or even install new add-ons remotely.
  • While this can be useful to address problems like ‘Armagadd-on 2.0’ or
  • revert previous decisions to disable TLS 1.0/1.1, privacy and security
  • concerns prevail, which is why we have switched off the use of this
  • service by default.