Der Artikel beschreibt ausführlich die Funktion „DNS über HTTPS“ (DoH). Hier erfahren Sie außerdem, wie Sie die Funktion aktivieren, deaktivieren oder die Einstellungen von DoH ändern.

Was ist „DNS über HTTPS“ (DoH)?

Wenn Sie eine Internetadresse (URL) oder den Namen einer Domain in die Adressleiste eingeben (z. B. www.mozilla.org), sendet Ihr Browser eine Anfrage über das Internet, um die IP-Adresse für diese Webseite zu ermitteln. Normalerweise wird diese Anfrage über eine Klartextverbindung an die Server gesendet. Diese Verbindung ist unverschlüsselt, deshalb können Dritte sehr leicht erkennen, auf welche Webseite Sie gerade zugreifen möchten.

„DNS über HTTPS“ (DoH) funktioniert anders: Der eingegebene Domainname wird nicht als Klartext gesendet, sondern über eine verschlüsselte HTTPS-Verbindung an einen DoH-kompatiblen DNS-Server. Dadurch können mitlesende Dritte nicht sehen, welche Webseite Sie aufrufen möchten.

Vorteile

DoH schützt Ihre Privatsphäre, denn es verbirgt Ihre Domain-Anfragen vor anderen Personen in öffentlichen WLANs, Ihrem lokalen Netzwerk oder bei Ihrem Internetanbieter. Bei aktiviertem DoH ist sichergestellt, dass Ihr Internetanbieter keine Ihrer personenbezogenen Daten bezüglich Ihres Surfverhaltens sammeln und verkaufen kann.

Risiken

• Manche Personen und Organisationen verlassen sich auf DNS, um Malware zu blockieren, die Kindersicherung zu aktivieren oder den Zugriff des Browsers auf Websites zu filtern. Wenn DoH aktiviert ist, umgeht es Ihren lokalen DNS-Resolver und setzt diese speziellen Richtlinien außer Kraft. Wird durch DoH die Ausführung einer gewünschten Richtlinie behindert, ermöglicht Firefox den Nutzern die Deaktivierung von DoH über die Einstellungen. Wenn DoH für die Anwender standardmäßig aktiviert ist, kann dies im Unternehmensbereich auch mithilfe von Gruppenrichtlinien gesteuert werden (oder, indem als Signal eine bestimmte Domain blockiert wird).
• Bei aktiviertem DoH sendet Firefox standardmäßig die DoH-Anfragen an DNS-Server, die von vertrauenswürdigen Partnern betrieben werden. Diese Partner können zwar die Nutzeranfragen sehen, aber Mozilla setzt mit seiner Trusted Recursive Resolver (TRR) Policy sehr strenge Anforderungen an seine Partner im Trusted Recursive Resolver (TRR)-Programm und verbietet ihnen das Sammeln personalisierter Daten, mit denen Nutzer identifiziert werden könnten. Zur Verringerung dieses Risikos verpflichten sich Mozillas Partner vertraglich, diese Richtlinie einzuhalten.
• DoH kann langsamer sein als normale DNS-Abfragen, allerdings ergaben Tests, dass die Auswirkung nur minimal ist, in vielen Fällen ist DoH sogar schneller (Details finden Sie im englischsprachigen Blogbeitrag DNS-over-HTTPS (DoH) Update – Recent Testing Results and Next Steps von Mozilla).

Informationen zur Aktivierung von „DNS über HTTPS“ (DoH)

Die standardmäßige Aktivierung des DoH-Protokolls für Firefox-Nutzer auf Desktops erfolgte zuerst im Jahr 2019 in den USA, in 2021 in Kanada und begann im März 2022 in Russland und der Ukraine. Die standardmäßige Aktivierung von DoH in weiteren Ländern ist geplant. Während der Phase dieser schrittweisen Implementierung wird DoH für die Benutzer im „Fallback“-Modus aktiviert. Das bedeutet, wenn z. B. die Suche nach Domainnamen mit DoH aus irgendeinem Grund fehlschlägt, greift Firefox auf das im Betriebssystem standardmäßig konfigurierte DNS zurück, anstatt eine Fehlermeldung anzuzeigen.

Das DoH-Protokoll nicht verwenden (opt-out)

Sie können DoH deaktivieren oder in den Firefox-Einstellungen für „DNS über HTTPS“ einen benutzerdefinierten Anbieter wählen.

Zusätzlich testet Firefox bestimmte Funktionen, die durch die Aktivierung von DoH beeinflusst werden könnten, einschließlich:

• Ist die Kindersicherung aktiviert?
• Filtert der Standard-DNS-Server potentiell schädliche und gefährliche Inhalte?
• Wird das Gerät von einer Organisation mit einer besonderen DNS-Konfiguration verwaltet?

Wenn bei einem dieser Funktionstests festgestellt wird, dass DoH Probleme verursachen könnte, wird DoH nicht aktiviert. Diese Funktionstests werden jedes Mal erneut durchgeführt, sobald sich das Gerät mit einem anderen Netzwerk verbindet.

„DNS über HTTPS“ aktivieren, deaktivieren und konfigurieren

Informationen dazu erhalten Sie unter Konfiguration der Schutzstufen von DNS über HTTPS (DoH) in Firefox.

Netzwerke konfigurieren, um DoH zu deaktivieren

• Netzwerkkonfiguration zum Deaktivieren von DNS über HTTPS (DoH)
• DNS über HTTPS (DoH) FAQs

Encrypted Client Hello (ECH)

Mit der Veröffentlichung von Firefox-Version 118 wurde mit Encrypted Client Hello (ECH) eine wichtige Sicherheitsverbesserung eingeführt. Die Hauptaufgabe von ECH besteht darin, bei Online-Interaktionen die Sicherheit bei der ersten Kontaktaufnahme zum Verbindungsaufbau (dem sog. „Handshake“) zu erhöhen. Durch ECH, verbunden mit DNS über HTTPS (DoH), steigt die Sicherheit beim Surfen im Internet um ein Vielfaches:

• DoH als Voraussetzung: Bei der Implementierung von Firefox verlässt sich ECH auf DoH, um die für den Handshake erforderlichen Verschlüsselungsschlüssel abzurufen. Ohne aktiviertes DoH kann ECH nicht funktionieren.
• Schutz durch Synergieeffekt: DoH übernimmt die Verschlüsselung von Anfragen an DNS-Server und schützt damit effektiv die Übersetzung von Website-Namen in IP-Adressen. ECH konzentriert sich dagegen auf die Verschlüsselung der ersten Kommunikation zwischen den Nutzern und Websites. Zusammen bieten sie einen umfassenden Schutz vor vielen Online-Bedrohungen.
• Verbesserter Schutz: Die Aktivierung von ECH und DoH bieten Ihnen einen doppelten Schutz Ihrer Privatsphäre, wodurch potenzielle Schwachstellen reduziert und die Sicherheit Ihrer Daten im Internet erhöht werden.

Stellen Sie sicher, dass DoH in Firefox aktiviert ist, um die Sicherheitsverbesserungen von ECH optimal nutzen zu können. Weitere ausführliche Informationen erhalten Sie unter Informationen über „Encrypted Client Hello“ (ECH) und Encrypted Client Hello (ECH) - Häufig gestellte Fragen.