DNS over https

  • Firefox-Version
    73.0.1
    Betriebssystem
    Windows 10 V. 1909

    Ändert sich faktisch überhaupt etwas, wenn ich in der Firefox-Einstellung DNS over HTTPS aktiviere (cloudflare)? Oder muss dafür in der Fritz!Box als Router die Grundeinstellung geändert werden, die zunächst einmal den DNS-Server des Internetanbieters vorsieht (unverschlüsselte URL-Übertragung vermutlich)?

  • Ich danke dir für die ultraschnelle Antwort, Zitronella. Ich werde es heute Abend gleich mal ausprobieren.

    Edit:

    Hat geklappt, es wird Cloudflare Inc. als DNS-Server samt IPv4 angezeigt.

    Wie kann ich nun noch herausfinden, ob die jeweilige URL zu diesem Cloudflare-Server auch wirklich per HTTPS übertragen wird?

    Einmal editiert, zuletzt von Upgrader (28. Februar 2020 um 19:57)

  • Wenn du den Einstellungen im Firefox nicht traust, dann führe ein netstat aus oder, einfacher, öffne den Windowsressourcenmonitor kontrolliere über welchen Port die Anfragen laufen. Für alle HTTPs-Seiten und DoH ist der Port 443, für normales DNS Port 53 oder 853.

  • Ja klar, bei mir funktioniert das. Bei dir auch. Die IP-Adresse siehst du im Ressourcenmonitor im Block TCP-Verbindungen in der Spalte Remoteadresse. Es kann sein, dass dir die IPv6-Adresse angezeigt wird.

  • Weil der Ressourcenmonitor etwas unübersichtlich ist, habe ich das mal per netstat unter Linux gemacht. Dort sieht man es besser. Es geht aber auch mit dem Ressourcenmonitor.

    Damit es übersichtlicher wird, filtere dort auf firefox.exe. Beachte, dass es mehrere dieser Prozesse gibt. Klicke alle an.

    Dann ruft du bei aktiviertem DoH die Seite der Tagesschau auf. Du wirst dann im Ressourcenmonitor Adressen der Art

    2606:4700: ... sehen, die auf 443 angesprochen werden.

    Dann machst du ein whois auf die Adresse und siehst, dass die zu Cloudfare gehört.

    Wiederhole en Test ohne Doh, aber wieder auf Tagesschau. Die Cloudfare-Adresse taucht dann nicht mehr auf.

  • https://wiki.mozilla.org/Trusted_Recursive_Resolver

    Zitat

    network.trr.skip-AAAA-when-not-supported

    (default: true) If Firefox detects that your system does not have IPv6 connectivity, it will not request IPv6 addresses from the DoH server.

    Bitte prüfen --> Eingabeaufforderung mit Adminrechten -> ipconfig /all

    Steht Teredo als nicht verbunden drin, ist auch kein IPv6 aktiv -> Internetverbindung -> Einstellungen prüfen.

    Windows 10 benötigt zwingend IPv6 zum Arbeiten.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Welche Angaben unter dem Link sind hilfreich, um zu prüfen, ob der Firefox tatsächlich Cloudfare verwendet? Ich sehe keine einzige.

    Was hilft ipconfig dabei? Sehe ich auch nicht.

    Windows 10 benötigt zwingend IPv6 zum Arbeiten.

    Hast du dazu bitte einen Beleg? Bekannt ist, dass der Store und Edge ab 1809 aktiviertes IPv6 verlangen.

    Upgrader , lass dich nicht verwirren und verändere vor allem nichts an deiner Netzwerkkonfiguration.

  • Ich weiß immer noch nicht so recht, warum man diesen Weg überhaupt geht. Vertraut man Cloudfare, Google und Co mehr als seinem eigenen Provider? Geht man davon aus, anonymer im Netz zu sein? Glaubt man den Anbietern, nicht zu loggen oder für ihre Interessen zu verwenden?

  • Wie kommst du auf Google? Aktuell sind ausschließlich Cloudflare und NextDNS Teil von Mozillas Trusted Recursive Resolvers-Programm (TRR).:/ Klar, es kann jeder, der es möchte, natürlich auch Google als DNS-Resolver verwenden, aber du bist der erste, der hier Google ins Spiel bringt.

    Und ja, ein gewisses Vertrauen darf man in DNS-Anbieter haben, welche Teil vom TRR sind. Denn diese Anbieter sind eine Verpflichtung eingegangen. Beispielsweise dürfen Daten nicht länger als 24 Stunden aufbewahrt werden und die Weitergabe an Dritte ist untersagt. Ebenso ist eine öffentliche Datenschutzerklärung verpflichtend, welche beschreibt, welche Daten anfallen und wie mit diesen umgegangen wird. Sofern vom Gesetzgeber nicht anders verlangt ist auch die Modifizierung oder Blockierung des DNS strengstens untersagt – außer natürlich, der Nutzer willigt explizit in eine Filterung ein, wie es zum Beispiel bei einer Kindersicherung der Fall ist. All diese Dinge sind bindend und du darfst davon ausgehen, dass es sich die Anbieter nicht leisten können, hier zu lügen, da ein solcher Skandal das Geschäft ruinieren würde, welches aus naheliegenden Gründen auf Vertrauen basiert. Wenn man nicht einmal DNS-Anbietern vertraut, welche diese Verpflichtung eingehen, dann kann man gar keinem DNS-Anbieter vertrauen und dann braucht man natürlich auch kein DoH, weil's egal ist, wem man nicht vertraut.

  • Es geht aber auch mit dem Ressourcenmonitor.

    Damit es übersichtlicher wird, filtere dort auf firefox.exe. Beachte, dass es mehrere dieser Prozesse gibt. Klicke alle an.

    Dann ruft du bei aktiviertem DoH die Seite der Tagesschau auf. Du wirst dann im Ressourcenmonitor Adressen der Art

    2606:4700: ... sehen, die auf 443 angesprochen werden.

    Dann machst du ein whois auf die Adresse und siehst, dass die zu Cloudfare gehört.

    Danke schön. Ja, die beiden IPv6-Adressen von Cloudflare tauchen im Ressourcenmonitor mit auf (Remoteport 443). Über die folgende Webpage von Cloudflare erhält man, wie ich vorhin herausfand, unabhängig davon eine gute Übersicht angezeigt:
    https://cloudflare-dns.com/help/

    3 Mal editiert, zuletzt von Upgrader (1. März 2020 um 04:44)

  • Gut, dann hast du jetzt hoffentlich die Gewissheit, die dir wichtig war. Letztendlich läuft alles auf die Frage hinaus, wem man sein Vertrauen schenkt.

    Ich persönlich habe grundsätzlich immer dann Bedenken, wenn eine Stelle sehr viele Daten bekommt, wie hier die (derzeit) nur wenigen unterstützten Anbieter. Selbst dann, wenn die sich an alle Vereinbarungen halten, Missbrauch durch einzelne Personen oder Angriffe von außen sind immer möglich.

  • Selbst dann, wenn die sich an alle Vereinbarungen halten, Missbrauch durch einzelne Personen oder Angriffe von außen sind immer möglich.

    Natürlich kann nichts auf der Welt irgendetwas zu 100 Prozent garantieren. Da das auf ausnahmslos jeden Anbieter zutrifft, ist das ein völlig irrelevanter Punkt für die Diskussion, denn das trifft mit und ohne DoH gleichermaßen zu und kann damit weder als Argument für noch gegen verwendet werden. Auf der anderen Seite bringen verbindliche Vereinbarungen zusätzliche Sicherheit für den Anwender, die es ohne diese Vereinbarungen nicht gibt, nicht geben kann. Wie du selbst völlig richtig erkannt hast, läuft es am Ende auf Vertrauen hinaus. Aber die Vertrauensgrundlage ist logischerweise alleine durch die Verpflichtungen im Rahmen des TRR-Programms eine ganz andere. Und nur das können wir bewerten. Das andere kann unmöglich als Argument eingebracht werden, weil es schlicht und ergreifend nichts mit DoH zu tun hat.

    wie hier die (derzeit) nur wenigen unterstützten Anbieter.

    Und diese Aussage ist falsch. Es wird ausnahmslos jeder und nicht nur wenige Anbieter unterstützt. Limitiert ist nur eine Zahl: Nämlich, dass es derzeit nur zwei Anbieter gibt, welche Teil von Mozillas TRR-Programm sind und die sich damit selbst zu höheren Standards zum Datenschutz verpflichtet haben. Die Zahl wird mit ziemlicher Sicherheit noch steigen, aber für die Unterstützung in Firefox spielt das keine Rolle. Der Nutzer kann jeden beliebigen Anbieter verwenden, der einen solchen Dienst anbietet.

  • Ich will keine Absicht unterstellen, aber du verdrehst mir ziemlich die Worte. Was ist an der Aussage, dass es derzeit nur wenige unterstützte Anbieter gibt falsch?

    Selbstverständlich habe ich gesehen, dass Firefox auch die Möglichkeit bietet, benutzerdefiniert vorzugehen. Das war aber hier nicht mein Punkt.

    Es gibt derzeit nur zwei Anbieter, welche die Kriterien seitens Mozilla erfüllen. Das ist keine Kritik an Mozilla sondern einfach nur eine korrekte Feststellung. Zwei sind zwei, aus welchen Gründen auch immer. Dass das wenige sind, kann wohl kaum bestritten werden. Mehr habe ich nicht behauptet.

    Da das auf ausnahmslos jeden Anbieter zutrifft, ist das ein völlig irrelevanter Punkt für die Diskussion, denn das trifft mit und ohne DoH gleichermaßen zu und kann damit weder als Argument für noch gegen verwendet werden.

    Ich schrieb ausdrücklich nur von dem Problem, das entsteht, wenn die Daten bei wenigen Anbietern konzentriert vorliegen. Das ist losgelöst von Mozilla völlig wertfrei zu sehen.

    Als Nutzer muss ich abwägen, wem ich meine Daten geben. Die Zentralisierung ist dabei ein Kriterium von vielen.Dezentralisiert auf viele Anbieter wären bei einem Datenklau logischerweise weniger Menschen betroffen. Das gilt für sämtliche Benutzerdaten, die ein Anbieter hat und somit natürlich auch für DoH. Deshalb ist das sehr wohl ein Argument.

  • aber du verdrehst mir ziemlich die Worte. Was ist an der Aussage, dass es derzeit nur wenige unterstützte Anbieter gibt falsch? […] Mehr habe ich nicht behauptet.

    Nö, ich verdrehe nichts. Alle existierenden Anbieter werden unterstützt. Die Aussage, nur wenige Anbieter würden unterstützt, ist ohne Wenn und Aber falsch. Wenn du sagen wolltest, es würde generell nicht viele Anbieter geben: Das hast du nicht geschrieben. Ich kann mich nur auf das beziehen, was du schreibst, nicht auf das, was du denkst. Und gerade du, der sich in diesem Forum fast nur meldet, um andere zu korrigieren, solltest nicht so reagieren, wenn andere genau sind.