DNS über HTTPS in Firefox

Was ist „DNS über HTTPS“ (DoH)?

Wenn Sie eine Internetadresse (URL) oder den Namen einer Domain in die Adressleiste eingeben (z. B. www.mozilla.org), sendet Ihr Browser eine Anfrage über das Internet, um die IP-Adresse für diese Webseite zu ermitteln.

Normalerweise wird diese Anfrage über eine Klartextverbindung an die Server gesendet. Diese Verbindung ist unverschlüsselt, deshalb können Dritte sehr leicht erkennen, auf welche Webseite Sie gerade zugreifen möchten.

„DNS über HTTPS“ (DoH) funktioniert anders: Der eingegebene Domainname wird nicht als Klartext gesendet, sondern über eine verschlüsselte HTTPS-Verbindung an einen DoH-kompatiblen DNS-Server. Dadurch können mitlesende Dritte nicht sehen, welche Webseite Sie aufrufen möchten.

Vorteile

DoH schützt Ihre Privatsphäre, denn es verbirgt Ihre Domain-Anfragen vor anderen Personen in öffentlichen WLANs, Ihrem lokalen Netzwerk oder bei Ihrem Internetanbieter.

Risiken

  • Manche Personen und Organisationen verlassen sich auf DNS, um Malware zu blockieren, die Kindersicherung zu aktivieren oder den Zugriff des Browsers auf Websites zu filtern. Wenn DoH aktiviert ist, umgeht es Ihren lokalen DNS-Resolver und setzt diese speziellen Richtlinien außer Kraft. Wird durch DoH die Ausführung einer gewünschten Richtlinie behindert, ermöglicht Firefox den Nutzern die Deaktivierung von DoH über die Einstellungen. Wenn DoH für die Anwender standardmäßig aktiviert ist, kann dies im Unternehmensbereich auch mithilfe von Gruppenrichtlinien gesteuert werden (oder, indem als Signal eine bestimmte Domain blockiert wird).
  • Dieser Absatz betrifft nur Nutzer in den USA: Firefox sendet standardmäßig die DoH-Anfragen an DNS-Server, die von CloudFlare betrieben werden. d. h., CloudFlare hat die Möglichkeit, Nutzeranfragen zu sehen. Allerdings setzt Mozilla mit seiner Trusted Security/DOH-resolver-policy sehr strenge Anforderungen an seine Partner im Trusted Recursive Resolver (TRR)-Programm und verbietet CloudFlare und jedem anderen DoH-Partner, personalisierte Daten zu sammeln, mit denen Nutzer identifiziert werden könnten. Zur Verringerung dieses Risikos verpflichten sich Mozillas Partner vertraglich, diese Richtlinie einzuhalten.
  • DoH kann langsamer sein als normale DNS-Abfragen, allerdings ergaben Tests, dass die Auswirkung nur minimal ist, in vielen Fällen ist DoH sogar schneller (Details finden Sie in diesem englischsprachigen Blogbeitrag von Mozilla).

Für Firefox-Nutzer in den USA: Aktivierung von „DNS über HTTPS“ (DoH)

Mozilla plant, ab Herbst 2019 für Nutzer von Firefox in den USA mit der schrittweisen Aktivierung von DoH für alle Desktopbenutzer zu beginnen (siehe diesen englischsprachigen Blogbeitrag von Mozilla). Wenn eine Domainanfrage durch DoH fehlschlägt, wird Firefox jedoch auf das im Betriebssystem standardmäßig konfigurierte DNS zurückgreifen, anstatt eine Fehlermeldung anzuzeigen.

Deaktivierung von DoH

Firefox-Anwender in den USA sehen die nachstehende Mitteilung, wenn bei ihnen DoH zum ersten Mal aktiviert wird. Sie können dann entscheiden, DoH nicht zu verwenden, sondern stattdessen den standardmäßigen DNS-Resolver ihres Betriebssystem zu nutzen.
DoH Opt Out

Zusätzlich testet Firefox bestimmte Funktionen, die durch die Aktivierung von DoH beeinflusst werden könnten, einschließlich:

  • Ist die Kindersicherung aktiviert?
  • Filtert der Standard-DNS-Server potentiell schädliche und gefährliche Inhalte?
  • Wird das Gerät von einer Organisation mit einer besonderen DNS-Konfiguration verwaltet?

Wenn bei einem dieser Funktionstests festgestellt wird, dass DoH Probleme verursachen könnte, wird DoH nicht aktiviert. Diese Funktionstests werden jedes Mal erneut durchgeführt, sobald sich das Gerät mit einem anderen Netzwerk verbindet.

In der Anfangsphase der Auslieferung wird DoH über eine Firefox-Studie aktiviert. Hatten Sie in der oben gezeigten Mitteilung der Aktivierung von DoH zugestimmt, können Sie diese später jederzeit wieder ablehnen, indem Sie about:studies in die Adressleiste eingeben und anschließend nach einer aktiven Studie mit dem Namen DNS over HTTPS US Rollout suchen. Ist sie bei Ihnen vorhanden, können Sie die Studie entfernen. Möglicherweise hat die Studie bereits die oben genannten Tests durchgeführt, deshalb sollten Sie diese Schritte durchführen:

  1. Tippen Sie about:config in die Adressleiste und drücken Sie die Eingabetastedie Eingabetaste. Eine Seite mit einem Warnhinweis öffnet sich. Klicken Sie auf Ich bin mir der Gefahren bewusst!Risiko akzeptieren und fortfahren, um den Konfigurationseditor für die Einstellungen auf der Seite about:config zu öffnen.
    about:config fx57 win about config fx71 Vorsicht
    Für Nutzer von LinuxMac kann die grafische Darstellung geringfügig abweichen.
  2. Tippen Sie network.trr.mode in das Suchfeld. Danach wird die Einstellung network.trr.mode angezeigt. Vergewissern Sie sich, dass der dortige Wert entweder 0 (Aus) oder 5 (deaktiviert durch den Benutzer) ist. Mit einem gesetzten Wert von 5 verhindern Sie, dass DoH zukünftig automatisch aktiviert wird.
    So ändern Sie den Wert: Doppelklicken Sie auf die EinstellungKlicken Sie neben dieser Einstellung auf die Schaltfläche Fx71aboutconfig-EditButton (Bearbeiten), geben Sie einen neuen Wert ein und klicken Sie auf das Häkchen Fx71aboutconfig-Checkmark , um den neuen Wert zu speichern.

„DNS über HTTPS“ manuell aktivieren und deaktivieren

Sie können DoH in Ihren Verbindungs-Einstellungen in Firefox aktivieren oder deaktvieren:

  1. Klicken Sie auf die Menüschaltfläche New Fx Menu Fx57Menu und wählen Sie Einstellungen.
  2. Wählen Sie den Abschnitt Allgemein und gehen Sie dort hinunter zum Absatz Verbindungs-Einstellungen.
  3. Klicken Sie neben der Zeile Jetzt festlegen, wie sich Firefox mit dem Internet verbindet auf die Schaltfläche Einstellungen…
  4. Scrollen Sie im sich öffnenden Dialog „Verbindungs-Einstellungen" hinunter zur Zeile DNS über HTTPS aktivieren.
    • Aktivieren: Setzen Sie ein Häkchen neben DNS über HTTPS aktivieren. Wählen Sie einen der dort aufgeführten Anbieter oder bestimmen Sie mit der Option „Benutzerdefiniert" einen von Ihnen selbst definierten Anbieter.
    • Deaktivieren: Entfernen Sie das Häkchen neben DNS über HTTPS aktivieren.
      Einstellungen Allgemein Start DNS über HTTPS aktivieren
  5. Klicken Sie auf OK, um Ihre Änderungen zu speichern und den Dialog zu schließen.

Den Anbieter wechseln

  1. Klicken Sie auf die Menüschaltfläche New Fx Menu Fx57Menu und wählen Sie Einstellungen.
  2. Wählen Sie den Abschnitt Allgemein, gehen Sie dort zum Bereich Verbindungs-Einstellungen und klicken Sie auf Einstellungen….
  3. Scrollen Sie im sich öffnenden Dialog „Verbindungs-Einstellungen“ nach unten und setzen Sie ein Häkchen neben DNS über HTTPS aktivieren. Klicken Sie dann in der Zeile Anbieter verwenden rechts auf den Pfeil im Auswahlmenü, um einen Anbieter zu wählen.
    Einstellungen Allgemein Verbindung Anbieter wechseln Einstellungen Allgemein Verbindung Anbieter wechseln fx73
  4. Bestätigen Sie Ihre Auswahl mit OK, danach schließt sich der Dialog.

Bestimmte Domains ausschließen

Damit Firefox anstatt DoH den DNS-Resolver Ihres Betriebssystems verwendet, können Sie Ausnahmen festlegen:

  1. Tippen Sie about:config in die Adressleiste und drücken Sie die Eingabetastedie Eingabetaste. Eine Seite mit einem Warnhinweis öffnet sich. Klicken Sie auf Ich bin mir der Gefahren bewusst!Risiko akzeptieren und fortfahren, um den Konfigurationseditor für die Einstellungen auf der Seite about:config zu öffnen.
    about:config fx57 win about config fx71 Vorsicht
    Für Nutzer von LinuxMac kann die grafische Darstellung geringfügig abweichen.
  2. Suchen Sie die Einstellung network.trr.excluded-domains und doppelklicken Sie darauf.
  3. Fügen Sie die entsprechenden Domains – jeweils getrennt durch Kommas – zur Liste hinzu und klicken Sie auf OK.
    Hinweis: Entfernen Sie keine Domains aus der Liste.
  1. Tippen Sie about:config in die Adressleiste und drücken Sie die Eingabetastedie Eingabetaste. Eine Seite mit einem Warnhinweis öffnet sich. Klicken Sie auf Ich bin mir der Gefahren bewusst!Risiko akzeptieren und fortfahren, um den Konfigurationseditor für die Einstellungen auf der Seite about:config zu öffnen.
    about:config fx57 win about config fx71 Vorsicht
    Für Nutzer von LinuxMac kann die grafische Darstellung geringfügig abweichen.
  2. Tippen Sie network.trr.excluded-domains in das Suchfeld. Danach wird die Einstellung network.trr.excluded-domains angezeigt.
  3. Klicken Sie neben dieser Einstellung auf die Schaltfläche  Fx71aboutconfig-EditButton  (Bearbeiten).
  4. Fügen Sie die entsprechenden Domains – jeweils getrennt durch Kommas – zur Liste hinzu und klicken Sie auf das Häkchen Fx71aboutconfig-Checkmark , um den neuen Wert zu speichern.
    Hinweis: Entfernen Sie keine Domains aus der Liste.
Über Subdomains: Firefox prüft alle Domains, die Sie in network.trr.excluded-domains aufgelistet haben, zusammen mit deren Subdomains. Wenn Sie z. B. example.com eingeben, wird Firefox auch www.example.com ausschließen.

Konfiguration von Netzwerken, um DoH zu deaktivieren

Lesen Sie dazu den Artikel Netzwerkkonfiguration zum Deaktivieren von DNS über HTTPS (DoH) und die häufig gestellten Fragen zu „DNS über HTTPS“ (DoH).

War der Artikel hilfreich?

Bitte warten…

Diese netten Menschen haben geholfen, diesen Artikel zu schreiben:

Illustration of hands

Mitmachen

Vergrößern und teilen Sie Ihr Fachwissen mit anderen. Beantworten Sie Fragen und verbessern Sie unsere Wissensdatenbank.

Weitere Informationen