Mozilla will seinen Browser Firefox mit einem Update auf das generell sicherere DNS over HTTPS (DoH) umstellen, wodurch alle Abfragen des Domain Name Systems (DNS = Internet-Telefonbuch) nur noch über eine sichere Verbindung laufen, was die Gefahr, von einem böswilligen DNS-Server in die Irre geleitet zu werden, ja durchaus reduzieren kann.

Alle Surf-Profile sollen an Cloudflare gehen

Dumm daran ist aber, dass Hersteller Mozilla nach Angeben der Sicherheitsexperten des Schweizer Open-Source-Dienstleisters Ungleich  in seinem Browser für die Adressauflösung ausschließlich den DNS-Anbieter Cloudflare als sogenannten Trusted Recursive Resolver (TRR) fest einstellen will. Dieses Unternehmen aus den USA werde damit imstande sein, die DNS-Anfragen aller Firefox-Nutzer zu lesen, womit die Wege aller Benutzer durch das World Wide Web diesem einen Unternehmen bekannt werden.

Viele Sicherheitsfachleute warnen vor dem Firefox-DoH

Ein so konfiguriertes Verfahren als Angebot anzupreisen, das die Sicherheit erhöhe, sei “irreführend”, warnen die Schweizer Experten.

Die Lösung mit Cloudflare könne zwar dann hilfreich sein, wenn man sich beispielsweise in einem öffentlichen WLAN befinde, wo einem möglicherweise ein unbekannter, kompromittierte DNS-Server untergejubelt und man von diesem zum Beispiel auf Phishing-Seiten umgeleitet werden könnte.

Aber für Nutzer, die sich in einem vertrauenswürdigen Netzwerk wie bei ihrem DSL- oder Mobilfunk-Zugangsprovider befänden und keine größeren Probleme mit ihren bekannten DNS-Servern hätten, stelle dieser Datenaustausch mit Cloudflare in den USA einen zusätzlichen Unsicherheitsfaktor dar.

Zwar verspreche der DNS-Anbieter Cloudflare, alle personenbezogenen Informationen aus den übersandten Daten spätestens nach 24 Stunden zu löschen, aber man wisse letztlich nie, wo der Verkehr am Ende des Tages wirklich lande.

Die Kooperation mit Cloudflare biete so einen zentralen Angriffs- und Fehlerpunkt. Die Ungleich-Blogger geben aber auch Tipps, wie man DoH komplett abstellen oder zumindest den TRR ändern kann.

Auch Felix von Leitner vom Chaos Computer Club (CCC). Der Hacker sagt in seinem Blog, dass Cloudflare mit seiner Voreinstellung in Firefox umgehend “ganz oben auf der Liste der für die NSA interessanten Firmen” stehen werde.

Trumps Geheimdienste würden alles daran setzen, die DNS-Daten der Benutzer dort abzugreifen – nötigenfalls nicht durch den üblichen Hack, sondern mitz einem National Security Letter (NSL), dem mächtigen und bei allen Internetkonzernen gefürchteten Auskunftswerkzeug für US-Sicherheitsbehörden.

Auch bei der Internet Engineering Task Force (IETF), die die DoH-Spezifikation vorangetrieben hatte, gibt es schon länger Bedenken wegen der gefährlichen Zentralisierung durch diese Pläne von Mozilla. Damit gingen letztlich die kompletten Surf-Profile an eine Firma in den USA.