trr - Modus

  • über about:config habe ich schon einige Zeit den trr-Modus aktiviert. Dazu habe ich folgende Einstellungen gesetzt:

    user_pref("network.trr.mode", 3);
    user_pref("network.trr.uri", https://mozilla.cloudflare-dns.com/dns-query);
    user_pref("network.trr.bootstrapAddress", 104.16.111.25 , 104.16.112.25);

    Auf Empfehlung hin sollte der folgende Wert so gesetzt werden:

    user_pref("security.OCSP.enabled", 0);

    Leider funktionierte das so nicht, sodass ich den Wert wieder auf > 1 < gestellt habe. Damit ging es dann bis zum gestrigen Abend (Version 65.0.2). Ab heute konnte damit keine
    Internetseite mehr geladen werden, erst nachdem ich den Wert auf > 0 < gesetzt habe funktioniert wieder alles.

    Eventuell hilft dieser Hinweis!

    Grüße vom FuchsFan

  • Aus eigener Erfahrung weiss ich, dass das beschriebene Problem gelegentlich auftritt, wenn man bei Firefox DNS-over-HTTPS mit der Einstellung ("network.trr.mode", 3) betreibt. (ergo TRR-only ab Firefox-Start)

    Das Problem kann man dabei lösen, indem man kurz den Schalter network.trr.mode entweder auf 0 (TRR ausgeschaltet) oder 2 (TRR mit Fallback aufs systemweite DNS) setzt, und danach eine beliebige Seite aufruft. Sobald wieder Seiten korrekt aufgelöst werden, kann man in der Regel wieder den Schalter network.trr.mode auf 3 setzen.
    Alternativ bietet es sich auch an TRR nur mit network.trr.mode auf 2 gesetzt zu nutzen, wo das Problem nicht auftreten sollte, da du dort immer noch den Fallback auf dein System-DNS hast.


    user_pref("network.trr.bootstrapAddress", 104.16.111.25 , 104.16.112.25);


    Du solltest in dieser Einstellung lediglich eine IP-Adresse des DNS-Resolvers einsetzen. (könnte vielleicht bei dir auch für das Problem verantwortlich sein, wenn hier zwei IP-Adressen angegeben sind.)
    Beispielsweise wäre 104.16.111.25 in diesem Fall vollkommen ausreichend.


    Auf Empfehlung hin sollte der folgende Wert so gesetzt werden:

    user_pref("security.OCSP.enabled", 0);


    Entgegen der Empfehlung vom Privacy-Handbuch würde ich diese Einstellung auf 1 (eingeschaltet) belassen, da eine Veränderung dieser Einstellung nicht notwendig ist für das korrekte Funktionieren von DNS-over-HTTPS bei Firefox. Darüber hinaus ist auch die Sicherheit deines Browsers gemindert, da keine Gültigkeitsabfrage von Zertifikaten per OSCP-Server mehr stattfindet.

  • Danke für Deinen Hinweis, ich habe nur den Wert wieder auf 1 gestellt, und nun geht alles wieder. Muss ich mir merken, weil ich den trr-Modus bei 3 belassen möchte. Denn unter about:networking wird mir die Wirkung bestätigt.

    Grüße

    Grüße vom FuchsFan

  • Nun muss ich noch einmal auf das Thema zurück kommen, weil heute (bis gestern alles ok) das gleiche Problem wieder auftritt.
    Dabei habe ich jetzt festgestellt, dass es egal ist welchen trr-Modus ich einstelle (1,2 oder 3), es werden keine Seiten geladen. Der Störer ist dieser Eintrag:

    user_pref("security.OCSP.enabled", 1);

    Sofern ich den Wert auf Null stelle , so werden auch wieder Seiten geladen. Zurück auf 1, keine Verbindung.
    Gibt es Hinweise und Ideen zu dieser Problematik ?

    Nachtrag:
    Ein Zusammenhang zwischen dem trr-modus und dem o.g. Eintrag muss aber bestehen, denn ich habe in einem weiteren Firefox den trr-Modus auf Null, und den obigen Wert auf 1, und da laden Seiten ganz normal.

    Grüße vom FuchsFan

  • dejavu

    Danke für Deine Rückmeldung, leider funktioniert das so nicht. Ich hatte von >macko< aus Beitrag 2 den Rat befolgt und nur eine Adresse eingetragen, den Wert >security.OCSP.enabled", 1< so gesetzt, und so lief es dann bis gestern abend. Ich nutze noch mehrere portable Versionen von Firefox, überall das gleiche Problem, wenn trr-Modus auf 1 bis 3 eingestellt ist, muss neuerdigs der Wert >security.OCSP.enabled< auf Null. Neuerdings habe ich auch festgestellt, dass es nur funktioniert wenn unter >network.trr.bootstrapAddress< nur eine Adresse eingetragen ist (ging anfangs auch mit zwei Adressen, wie oben angegeben).

    Sagt mir, was soll das bedeuten, dass ich so................

    Edit:
    Es war bisher immer mein Bestreben größte Sicherheitsvorkehrungen zu treffen, hatte auch nie Probleme, weil ich mich immer über Möglichkeiten informiert habe, so auch über DNS-over-HTTPS. Da dieser Modus aber auch sehr viel Kritik hervorgerufen hat, ist meine Entscheidung jetzt gefallen, diesen nicht mehr zu nutzen (trr auf Null).
    Danke an die Kommentatoren, und Admin bitte Thema schliessen.

    Grüße vom FuchsFan


  • Und ich hatte beide drin, nur bei dir sind Leerzeichen dazwischen, das darf nicht.

    Die Sache mit dem trr-Modus ließ mir einfach keine Ruhe, auch nicht was du da einwirfst. Heute, wie aus heiterem Himmel funktioniert alles wieder wie im Beitrag 1 angesagt, auch wenn der Wert > security.OCSP.enabled < auf 1 eingestellt ist.
    Meine Erklärung ergibt daraus nur, dass mit der Erreichbarkeit der Server etwas nicht stimmte.
    Wieviele Leerzeichen zwischen den Adressen sind ist auch egal, im Moment habe ich testweise >Adresse 2 leer Komma 2 leer Adresse<, und es funktioniert tadellos. Mal so gesehen, du magst ja Recht haben, bei mir waren ursprünglich auch keine Leerzeichen vorhanden, die obigen Einträge habe ich aus einer vorbereiteten Text-Datei übernommen.
    So, nun ist aber für mich endgültig Schluß zu dieser Thematik, weil ich aus den Reaktionen hier auch schließen muss, dass sehr wenige User sich damit auseinander setzen.

    Danke nochmals für die Kommentare! :klasse:

    Grüße vom FuchsFan