Der Artikel beschreibt ausführlich die Funktion „DNS über HTTPS“ (DoH). Hier erfahren Sie außerdem, wie Sie die Funktion aktivieren, deaktivieren oder die Einstellungen von DoH ändern.
Inhaltsverzeichnis
- 1 Was ist „DNS über HTTPS“ (DoH)?
- 2 Vorteile
- 3 Risiken
- 4 Informationen zur Aktivierung von „DNS über HTTPS“ (DoH)
- 5 Das DoH-Protokoll nicht verwenden (opt-out)
- 6 Aktivierung, Deaktivierung und Konfiguration von „DNS über HTTPS“
- 7 „DNS über HTTPS“ manuell aktivieren und deaktivieren
- 8 Den Anbieter wechseln
- 9 Bestimmte Domains ausschließen
- 10 Konfiguration von Netzwerken, um DoH zu deaktivieren
- 11 Encrypted Client Hello (ECH)
Was ist „DNS über HTTPS“ (DoH)?
Wenn Sie eine Internetadresse (URL) oder den Namen einer Domain in die Adressleiste eingeben (z. B. www.mozilla.org), sendet Ihr Browser eine Anfrage über das Internet, um die IP-Adresse für diese Webseite zu ermitteln. Normalerweise wird diese Anfrage über eine Klartextverbindung an die Server gesendet. Diese Verbindung ist unverschlüsselt, deshalb können Dritte sehr leicht erkennen, auf welche Webseite Sie gerade zugreifen möchten.
„DNS über HTTPS“ (DoH) funktioniert anders: Der eingegebene Domainname wird nicht als Klartext gesendet, sondern über eine verschlüsselte HTTPS-Verbindung an einen DoH-kompatiblen DNS-Server. Dadurch können mitlesende Dritte nicht sehen, welche Webseite Sie aufrufen möchten.
Vorteile
DoH schützt Ihre Privatsphäre, denn es verbirgt Ihre Domain-Anfragen vor anderen Personen in öffentlichen WLANs, Ihrem lokalen Netzwerk oder bei Ihrem Internetanbieter. Bei aktiviertem DoH ist sichergestellt, dass Ihr Internetanbieter keine Ihrer personenbezogenen Daten bezüglich Ihres Surfverhaltens sammeln und verkaufen kann.
Risiken
- Manche Personen und Organisationen verlassen sich auf DNS, um Malware zu blockieren, die Kindersicherung zu aktivieren oder den Zugriff des Browsers auf Websites zu filtern. Wenn DoH aktiviert ist, umgeht es Ihren lokalen DNS-Resolver und setzt diese speziellen Richtlinien außer Kraft. Wird durch DoH die Ausführung einer gewünschten Richtlinie behindert, ermöglicht Firefox den Nutzern die Deaktivierung von DoH über die Einstellungen. Wenn DoH für die Anwender standardmäßig aktiviert ist, kann dies im Unternehmensbereich auch mithilfe von Gruppenrichtlinien gesteuert werden (oder, indem als Signal eine bestimmte Domain blockiert wird).
- Bei aktiviertem DoH sendet Firefox standardmäßig die DoH-Anfragen an DNS-Server, die von vertrauenswürdigen Partnern betrieben werden. Diese Partner können zwar die Nutzeranfragen sehen, aber Mozilla setzt mit seiner Trusted Recursive Resolver (TRR) Policy sehr strenge Anforderungen an seine Partner im Trusted Recursive Resolver (TRR)-Programm und verbietet ihnen das Sammeln personalisierter Daten, mit denen Nutzer identifiziert werden könnten. Zur Verringerung dieses Risikos verpflichten sich Mozillas Partner vertraglich, diese Richtlinie einzuhalten.
- DoH kann langsamer sein als normale DNS-Abfragen, allerdings ergaben Tests, dass die Auswirkung nur minimal ist, in vielen Fällen ist DoH sogar schneller (Details finden Sie in diesem englischsprachigen Blogbeitrag von Mozilla).
Informationen zur Aktivierung von „DNS über HTTPS“ (DoH)
Die standardmäßige Aktivierung des DoH-Protokolls für Firefox-Nutzer auf Desktops erfolgte zuerst im Jahr 2019 in den USA, in 2021 in Kanada und begann im März 2022 in Russland und der Ukraine. Die standardmäßige Aktivierung von DoH in weiteren Ländern ist geplant. Während der Phase dieser schrittweisen Implementierung wird DoH für die Benutzer im „Fallback“-Modus aktiviert. Das bedeutet, wenn z. B. die Suche nach Domainnamen mit DoH aus irgendeinem Grund fehlschlägt, greift Firefox auf das im Betriebssystem standardmäßig konfigurierte DNS zurück, anstatt eine Fehlermeldung anzuzeigen.
Das DoH-Protokoll nicht verwenden (opt-out)
Bei jenen Nutzern, die Firefox in Ländern verwenden, in denen das DoH-Protokoll durch Mozilla bereits standardmäßig aktiviert wurde, wird in Firefox ein Hinweis eingeblendet, wenn bei ihnen DoH zum ersten Mal aktiviert wird. Sie können dann entscheiden, DoH nicht zu verwenden, sondern stattdessen den standardmäßigen DNS-Resolver ihres Betriebssystems zu nutzen.
Zusätzlich testet Firefox bestimmte Funktionen, die durch die Aktivierung von DoH beeinflusst werden könnten, einschließlich:
- Ist die Kindersicherung aktiviert?
- Filtert der Standard-DNS-Server potentiell schädliche und gefährliche Inhalte?
- Wird das Gerät von einer Organisation mit einer besonderen DNS-Konfiguration verwaltet?
Wenn bei einem dieser Funktionstests festgestellt wird, dass DoH Probleme verursachen könnte, wird DoH nicht aktiviert. Diese Funktionstests werden jedes Mal erneut durchgeführt, sobald sich das Gerät mit einem anderen Netzwerk verbindet.
Aktivierung, Deaktivierung und Konfiguration von „DNS über HTTPS“
Informationen dazu erhalten Sie im Artikel Konfiguration der Schutzstufen von DNS über HTTPS (DoH) in Firefox.
„DNS über HTTPS“ manuell aktivieren und deaktivieren
Sie können DoH in Ihren Verbindungs-Einstellungen in Firefox aktivieren oder deaktivieren:
- Klicken Sie auf die Menüschaltfläche und wählen Sie .Klicken Sie in der Menüleiste am oberen Bildschirmrand auf und wählen Sie dann .
- Wählen Sie den Abschnitt und gehen Sie dort zum Bereich Verbindungs-Einstellungen.
- Klicken Sie hier auf . Der Dialog „Verbindungs-Einstellungen“ öffnet sich.
- Gehen Sie zur Zeile DNS über HTTPS aktivieren.
- Aktivieren: Setzen Sie ein Häkchen neben DNS über HTTPS aktivieren und wählen Sie im Auswahlmenü einen Anbieter oder legen Sie selbst einen benutzerdefinierten Anbieter fest (siehe Kapitel Den Anbieter wechseln).
- Deaktivieren: Entfernen Sie das Häkchen neben DNS über HTTPS aktivieren.
- Klicken Sie auf
, um Ihre Änderungen zu speichern und den Dialog „Verbindungs-Einstellungen“ zu schließen.
Den Anbieter wechseln
- Klicken Sie auf die Menüschaltfläche und wählen Sie .Klicken Sie in der Menüleiste am oberen Bildschirmrand auf und wählen Sie dann .
- Wählen Sie den Abschnitt und gehen Sie dort zum Bereich Verbindungs-Einstellungen.
- Klicken Sie hier auf . Der Dialog „Verbindungs-Einstellungen“ öffnet sich.
- Gehen Sie zur Zeile DNS über HTTPS aktivieren, klicken Sie neben „Anbieter verwenden“ rechts auf den Pfeil des Auswahlmenüs und
- wählen Sie einen Anbieter aus der Liste oder
- klicken Sie auf „Benutzerdefiniert“ , um selbst einen benutzerdefinierten Anbieter festzulegen.
- Klicken Sie auf
, um Ihre Änderungen zu speichern und den Dialog „Verbindungs-Einstellungen“ zu schließen.
Bestimmte Domains ausschließen
Damit Firefox anstatt DoH den DNS-Resolver Ihres Betriebssystems verwendet, können Sie Ausnahmen festlegen:
- Tippen Sie about:config in die Adressleiste und drücken Sie die Eingabetaste. Eine Seite mit einem Warnhinweis öffnet sich. Klicken Sie auf , um den Konfigurationseditor für die Einstellungen (die Seite about:config) zu öffnen.
- Suchen Sie die Einstellung network.trr.excluded-domains.
- Klicken Sie neben dieser Einstellung auf die Schaltfläche (Bearbeiten).
- Fügen Sie die entsprechenden Domains – jeweils getrennt durch Kommas – zur Liste hinzu und klicken Sie auf das Häkchen , um den neuen Wert zu speichern.Hinweis: Entfernen Sie keine Domains aus der Liste.
Über Subdomains: Firefox prüft alle Domains, die Sie in network.trr.excluded-domains aufgelistet haben, zusammen mit deren Subdomains. Wenn Sie z. B. example.com eingeben, wird Firefox auch www.example.com ausschließen.
Konfiguration von Netzwerken, um DoH zu deaktivieren
- Netzwerkkonfiguration zum Deaktivieren von DNS über HTTPS (DoH)
- Häufig gestellte Fragen zu „DNS über HTTPS“ (DoH)
Encrypted Client Hello (ECH)
Mit der Veröffentlichung von Firefox-Version 118 wird mit Encrypted Client Hello (ECH) eine wichtige Sicherheitsverbesserung eingeführt. Die Hauptaufgabe von ECH besteht darin, bei Online-Interaktionen die Sicherheit bei der ersten Kontaktaufnahme zum Verbindungsaufbau (dem sog. „Handshake“) zu erhöhen. Durch ECH, verbunden mit DNS über HTTPS (DoH), steigt die Sicherheit beim Surfen im Internet um ein Vielfaches:
- DoH als Voraussetzung: Bei der Implementierung von Firefox verlässt sich ECH auf DoH, um die für den Handshake erforderlichen Verschlüsselungsschlüssel abzurufen. Ohne aktiviertes DoH kann ECH nicht funktionieren.
- Schutz durch Synergieeffekt: DoH übernimmt die Verschlüsselung von Anfragen an DNS-Server und schützt damit effektiv die Übersetzung von Website-Namen in IP-Adressen. ECH konzentriert sich dagegen auf die Verschlüsselung der ersten Kommunikation zwischen den Nutzern und Websites. Zusammen bieten sie einen umfassenden Schutz vor vielen Online-Bedrohungen.
- Verbesserter Schutz: Die Aktivierung von ECH und DoH bieten Ihnen einen doppelten Schutz Ihrer Privatsphäre, wodurch potenzielle Schwachstellen reduziert und die Sicherheit Ihrer Daten im Internet erhöht werden.
Stellen Sie sicher, dass DoH in Firefox aktiviert ist, um die Sicherheitsverbesserungen von ECH optimal nutzen zu können. Weitere ausführliche Informationen erhalten Sie unter Informationen über „Encrypted Client Hello“ (ECH) und Encrypted Client Hello (ECH) - Häufig gestellte Fragen.