DNS over TLS (DoT) in Fritz!Box und DNS over HTTPS (DoH) in Thunderbird

    Achtung:

    Die komplette folgende Diskussion wurde aus einem anderen Thema heraus getrennt.

    Zitat von Helmuth

    Nervös wurde ich, da ich bei meinen Recherchen einen Beitrag vom Thunder las, der darauf aufmerksam machte, dass bei der FritzBox evtl. statt DNS TLS umgestellt gehört oder so. Das ist für mich zu schwierig, und wenn, warum funktionieren bestehende Systeme nach wie vor? Somit glaube ich nicht, dass bei der Fritzbox was geändert gehört (never change a running system).

    In Fritz!OS 7.20 oder neuer gibt es eine neue Option mit dem Namen "DNS over TLS". Von dieser Option lässt man eben besser die Finger weg (und lässt diese deaktiviert), wenn man "keine Ahnung hat". Ihr sollt also in der Regel eben nichts umstellen, sondern die Finger weg lassen. Leider haben viele von uns den Reflex, alles zu aktivieren was nach Sicherheit klingt und dann zu Problemen führt.

    Diese Option allein genügt nicht. Man müsste in jedem Fall auch noch den Anbieter auswählen können, sprich die Adresse des DNS-Servers eintragen.

    Aber gut, ich habe meine Frage leider unpräzise gestellt. Neuer Versuch. Weiß jemand, ob die zughörigen prefs aus dem Firefox auch im Thunderbird wirksam sind?

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Zitat von Susi to visit

    Weiß jemand, ob die zughörigen prefs aus dem Firefox auch im Thunderbird wirksam sind?

    Defaults:

    network.trr.confirmationNS string example.com

    network.trr.mode integer 0

    network.trr.resolvers string [{ "name": "Cloudflare", "url": "https://mozilla.cloudflare-dns.com/dns-query" },{ "name": "NextDNS", "url": "https://firefox.dns.nextdns.io/" }]

    network.trr.uri string https://mozilla.cloudflare-dns.com/dns-query

    Das ist leider keine Antwort auf meine Frage, ob diese prefs auch im Thunderbird eine Auswirkung haben. Im Firefox kann man das leicht unter about:networking nachschauen. Beim Thunderbird gibt es diese einfache Möglichkeit nicht. Da müsste man schon den Traffic mitschneiden.

    Die Zeit wollte ich mir eigentlich sparen, falls es eh jemand weiß.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Wenn Du die Einstellungen für DNS over TLS meinst, dann gibt es die in den Verbindungsoptionen (Proxy). Die müssten wirksam sein, da man dort im Zusammenspiel mit der Fritzbox dann auch die passende Option setzen muss.

    Danke. Auf die Idee, einfach mal die Menüs auf Änderungen zu checken, bin ich nicht gekommen. War wohl zu naheliegend. ;)

    Jedenfalls habe ich das mit dem DoH-Server der Telekom ausprobiert. Funktioniert.

    Das für alle Verbindungen zentral an der Fritzbox zu ändern, ist mir noch ein wenig zu gewagt. Der Telekom Server läuft meines Wissens immer noch im Testbetrieb. Die angebotenen Server von Cloudflare und NextDNS werde ich keinesfalls nutzen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Nun, ich nutze schon eine ganze Zeit lang den Server dns2.digitalcourage.de und habe keine Probleme damit.

    Wichtig ist vor allem, dass die Auswahl "Fallback auf unverschlüsselte Namensauflösung im Internet zulassen" aktiv gemacht wurde.

    Kein Backup - Kein Mitleid!
    Ungesicherte Daten sind unwichtige Daten.

    Zitat von Susi to visit

    Jedenfalls habe ich das mit dem DoH-Server der Telekom ausprobiert. Funktioniert.

    Das macht nichts anderes, als die folgenden Schlüssel zu setzen:[box]

    network.trr.mode = 2

    network.trr.custom_uri = "DoH Server"

    network.trr.uri = "DoH Server"[/box]

    Wer das auf jeden Fall deaktivieren möchte, setzt network.trr.mode = 5.

    Zitat von Susi to visit

    Das für alle Verbindungen zentral an der Fritzbox zu ändern, ist mir noch ein wenig zu gewagt.

    In der Fritzbox läßt sich DoT aktivieren, das ist unabhängig von dem DNS-Server, den die Fritzbox im Netzwerk zur Verfügung stellen kann. Dabei muß man natürlich darauf achten, daß die verwendeten DNS-Server auch das Protokoll anbieten (Standardport 853).

    BTW: DNS over TLS[1] (DoT) (wie in der Fritzbox) und DNS over HTTPS[2] (DoH) (wie in Thunderbird) sind zwei Paar Schuhe!

    → s. Thementitel ↑

    [1] https://de.wikipedia.org/wiki/DNS_over_TLS

    [2] https://de.wikipedia.org/wiki/DNS_over_HTTPS

    Zitat von B. Mueller

    Das macht nichts anderes, als die folgenden Schlüssel zu setzen:

    Das weiß ich. Meine Frage war allerdings, ob diese prefs auch wirken und nicht nur vom Firefox übernommen wurden. Damit, dass sie sich über das Menü erreichen lassen, hat sich die Frage im Prinzip erledigt. Außerdem habe ich das wie erwähnt inzwischen selbst überprüft.

    Zitat von B. Mueller

    DNS over TLS[1] (DoT) (wie in der Fritzbox) und DNS over HTTPS[2] (DoH) (wie in Thunderbird) sind zwei Paar Schuhe!

    Auch das ist mir bekannt. In den Beiträgen hier war allerdings stets von beiden die Rede, ohne sie explizit zu unterscheiden. Das ergibt hier auch durchaus Sinn, denn die Schuhe sind sich sehr ähnlich. Erstens haben beiden die selbe Auswirkung: Die Kommunikation mit einem DNS-Server wird verschlüsselt. Zweitens ist selbst der technische Unterschied hier aus Anwendersicht unerheblich, dann das Kommunikationsprotokoll https benutzt das darunterliegende Verschlüsselungsprotokoll TLS.

    Der tatsächliche Unterschied für den Benutzer ist der, dass sich die Einstellung im Firefox und im Thunderbird nur auf das jeweilige Programm auswirken, weil man dort - ähnlich zu einem Proxy - explizit einen DNS-Server angibt.

    Im Gegensatz dazu wirkt sich die Einstellung an der Fritzbox auf sämtliche Programme auf allen Rechnern aus, die die Namensauflösung über die Fritzbox bekommen.

    Das bedeutet auch, dass dies

    Zitat von B. Mueller

    Wer das auf jeden Fall deaktivieren möchte, setzt network.trr.mode = 5.

    eben nicht für jeden Fall gültig ist.

    Ferner sind die Einstellungen, sowohl in der Fritzbox als auch in den Mozillen, derzeit immer noch standardmäßig nicht aktiviert. Das liegt u.a. schlicht daran, dass es von vielen Providern noch nicht unterstützt wird. Wer es nicht benutzen will, muss also gar nichts deaktivieren und schon gar nicht in der prefs.js rumfummeln.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Zitat von Susi to visit

    In den Beiträgen hier war allerdings stets von beiden die Rede, ohne sie explizit zu unterscheiden. Das ergibt hier auch durchaus Sinn, denn die Schuhe sind sich sehr ähnlich.

    Aus Anwendersicht vielleicht, die darunter liegenden Protokolle sind es nicht!

    Zitat von Susi to visit

    Das bedeutet auch, dass dies

    Zitat von B. Mueller

    Wer das auf jeden Fall deaktivieren möchte, setzt network.trr.mode = 5.

    eben nicht für jeden Fall gültig ist.

    Ein schönes Beispiel dafür, wie irreführend ein aus dem Zusammhang gerissenes Zitat sein kann:

    1. Bezog es sich auf DoH in Thunderbird und nicht auf DNS over TLS (DoT) in der Fritzbox, und

    2. auf den Gegensatz zu network.trr.mode = 0 (die Default Einstellung)

    https://www.privacy-handbuch.de/handbuch_21w.htm

    Es ist sicher nur eine Frage der Zeit, bis DNS over HTTPS (DoH) von Mozilla auch bei uns ausgerollt wird, und dann wird dieser Schlüssel wichtig werden.

    https://blog.mozilla.org/en/products/fi…t-for-us-users/

    Zitat von Susi to visit

    Wer es nicht benutzen will, muss also gar nichts deaktivieren und schon gar nicht in der prefs.js rumfummeln.

    Ist es Taktik, dem Anwender nur ein GUI zu präsentieren und ihn immer weiter zu entmündigen …?

    Ich sehe schon, es geht wieder los. Bleib' doch einfach mal auf dem Teppich. Die Protokolle sind für das Thema hier und den Anwender völlig egal. Entweder jemand möchte verschlüsseltes DNS oder nicht. So einfach ist das.

    Wenn er es nicht möchte, dann hilft das Abschalten des DoH im Thunderbird oder Firefox nichts, solange an der Fritzbox DoT aktiviert ist.

    Überhaupt, es ist völlig egal ob DoH oder DoT. Das sind in dem Zusammenhang hier reine Spitzwendigkeiten von dir. Für den Anwender sind allein der Nutzen und die Auswirkung interessant. Und die sind in beiden Fällen gleich. Nur darum geht es hier.

    Zitat von B. Mueller

    Es ist sicher nur eine Frage der Zeit, bis DNS over HTTPS (DoH) von Mozilla auch bei uns ausgerollt wird, und dann wird dieser Schlüssel wichtig werden.

    Diesen Satz kann ich noch so oft lesen, ich weiß nicht, was du uns damit sagen möchtest. Niemand zwingt dich, die von Mozilla vorgeschlagenen Provider zu wählen. Du hast die freie Wahl. Außerdem klingt dein Posting ein wenig so als als würdest du DoH/DoT grundsätzlich nicht wollen. Dabei hast doch gerade du uns doch nun schon mehrmals erklärt, wie das ist, wenn man Verschlüsselung ernst nimmt.

    Wenn man einen Provider hat, der es unterstützt, wüsste ich keinen vernünftigen Grund, es nicht zu benutzen.

    Zitat von B. Mueller

    Ist es Taktik, dem Anwender nur ein GUI zu präsentieren und ihn immer weiter zu entmündigen …?

    Ich glaube für Verschwörungstheorien ist das hier das falsche Forum.

    P.S.: Rein proaktiv, ich bin gespannt, ob es auf ein ganz bestimmtes Insider-Wort eine ganz bestimmte Reaktion gibt.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Einmal editiert, zuletzt von Susi to visit (10. Juni 2021 um 22:07)

    Zitat von Susi to visit

    Außerdem klingt dein Posting ein wenig so als als würdest du DoH/DoT grundsätzlich nicht wollen.

    DOH - gerade bei Browsern - spielt den Ad-/Trackingdiensten, Staatstrojanern und anderer Schadsoftware in die Hände, da es auf Anwendungsebene funktioniert. Ad-/Trackingblocker z. B. auf der Basis von PI-Hole haben keine Chance mehr, ausgehende Verbindungen zu unerwünschten Servern zu erkennen und zu unterbinden. Außerdem halte ich es für problematisch, wenn die Summe aller DNS-Anfragen nur bei einigen wenigen Anbietern wie Cloudflare landen.

    Wem kann man trauen? Erinnert sich noch jemand an die DNS-Server von T-Online? Statt «NXDOMAIN» bei einer nichtauflösbaren Anfrage an die Clients zu schicken wurden diese auf eine Konzern-eigene Seite umgeleitet …

    DOT an zentraler Stelle halte ich für den besseren Ansatz, sofern man dem Anwender die Wahl vertrauenswürdiger DNS-Server läßt. Geschieht das Ganze auch noch über ein Anonymisierungsnetzwerk wie Tor, ist zumindest der ISP außen vor. Was er nicht weiß, kann er bei einem Auskunftsersuchen auch nicht herausgeben. Natürlich mangelt es auch dabei größtenteils noch an mangelnder Authentifizierung mittels DNSSEC, da es nur wenige DNS-Server anbieten.

    Hier läuft schon seit Jahren zuverlässig ein Raspberry PI als Router mit folgender Konfiguration (sozusagen ein erweitertes DOT im Rahmen meiner Möglichkeiten):[box]

    LAN → nftables → dnsmasq → ttdnsd → Tor → WAN[/box]

    Zitat von B. Mueller
    Ad-/Trackingblocker z. B. auf der Basis von PI-Hole haben keine Chance mehr, ausgehende Verbindungen zu unerwünschten Servern zu erkennen und zu unterbinden.

    Das hat nichts mit dem Protokoll DoH zu tun sondern trifft nur zu wenn es direkt in der Anwendung, wie Firefox oder Thunderbird einstellt.

    Zitat von B. Mueller

    DOT an zentraler Stelle halte ich für den besseren Ansatz, sofern man dem Anwender die Wahl vertrauenswürdiger DNS-Server läßt.

    DoH lässt sich ebenso zentral nutzen wie DoT, z.B. auch und gerade mit dem von dir erwähnten pi-hole. Das kann dann auch weiterhin brav seinen Job verrichten.

    Ein Anwender kann derzeit wählen zwischen Verschlüsselung direkt in der Anwendung (beim Thunderbird DoH) oder zentral über den Router. Im Falle der Fritzbox wäre das dann DoT. Es gibt aber auch Router, die machen das über DoH. Es gibt beides.

    Und den DNS-Server kannst du, wie oben längst erwähnt, selbstverständlich ebenfalls frei wählen.

    Für das Ergebnis bleibt es egal, ob man DoH verwendet oder DoT. Nur die Art, ob zentral oder dezentral macht den Unterschied.

    Du siehst, deine Punkte betreffen gar nicht den Unterschied zwischen DoT und DoH. Sie beziehen sich lediglich darauf, ob man das Verfahren zentral anwendet oder in der einzelnen Anwendung. Soweit waren wir schon in Beitrag #14.

    Das Thema Tor-Netzwerk ist noch ein ganz anderes. In diese Nebelwand werde ich an dieser Stelle nicht folgen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)

    Nachtrag zu #17:

    Gerade im neuen Firefox Version 89 entdeckt:[box]

    network.trr.odoh.configs_uri string ""

    network.trr.odoh.enabled boolean false

    network.trr.odoh.min_ttl integer 60

    network.trr.odoh.proxy_uri string ""

    network.trr.odoh.target_host string ""

    network.trr.odoh.target_path string ""[/box]

    Was ist das nun schon wieder? Kurz gesagt: Oblivious DNS over HTTPS (ODoH) ist eine Erweiterung des DoH Protokolls um einen Proxy.[1]

    Was vordergründig wie ein Gewinn an Sicherheit aussieht: "ODoH guarantees that, in the absence of collusion between the proxy and the resolver, no one entity is able to determine both the identity of the requester and the content of the request.", entpuppt sich bei näherem Hinsehen als eingebaute MITM[3] Schnittstelle, die TLOs und anderen Kriminellen den Zugriff auf die verschlüsselte Verbindung erlaubt.

    Darüber hinaus unterstützt das neue Protokoll die staatliche Zensur (Netzsperren à la Zensursula): "If a software developer wished to gain distribution rights in Saudi Arabia or China, for example, they could choose a reputable ODoH proxy to connect to a resolver that refuses to resolve censored domains."[2]

    Danke Mozilla, für den vorauseilenden Gehorsam!

    Kann jemand der Betatester mal nachsehen, ob ODoH in der kommenden Thunderbirdversion auch schon implementiert ist?

    [1] https://arxiv.org/pdf/2011.10121.pdf

    [2] https://www.eff.org/deeplinks/2020…ear-review-2020

    [3] https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff

    Mitleser mögen sich bitte nur nicht bange machen lassen. Schon gar nicht sollte man deshalb glauben, Mozilla würde sich aktiv daran beteiligen, Sicherheit und Privatsphäre auszuhebeln. Das sind, leider nicht zum ersten Mal, unhaltbare, schwere Vorwürfe seitens @B. Mueller.

    ODoH hat Chancen, ein offizieller und offener Standard der IETF zu werden. Mit Google, Apple und Cloudflare hat es einige namhafte Unterstützer. ¹

    Man kann ein paar Punkte an ODoH kritisieren, z.B. dass es immer noch nicht weit genug geht oder dass es (laut der verlinkten Studie absolut vernachlässigbare) Performance-Verluste mit sich bringt.

    Eines ist aber unstrittig: Es erhöht den Schutz der Privatsphäre. Es verschlechtert ihn nicht. Siehe auch den Blog von Bruce Schneier.

    Schauen wir mal auf die technischen Fakten dazu.

    Normales DNS:

    Derjenige, der den Nameserver betreibt, erfährt welcher Benutzer welche Adresse aufgerufen hat. Deshalb ist wichtig, sich genau zu überlegen, welchen ISP oder DNS-Provider man sich aussucht.

    Da die Anfragen unverschlüsselt sind, kann hier zusätzlich auch jemand in der Mitte diese Informationen abfangen.

    Namensauflösung über unverschlüsseltes DNS trifft bisher noch auf die weitaus meisten der Anwender zu.

    DoH:

    Die Anfragen an den Nameserver werden hier verschlüsselt. Ein Man-in-the-Middle kann nun nicht mehr so einfach mitlesen.

    Nach wie vor hat aber derjenige, der den Nameserver betreibt, immer noch die Information darüber, wer welche Adresse aufgerufen hat.

    ODoH:

    DNS-Abfragen werden wie bei DoH verschlüsselt an den Nameserver gesendet. Allerdings nicht direkt sondern über einen zwischengeschalteten Proxy.

    Der Betreiber des Proxys erfährt die IP des anfragenden Benutzers. Er kennt aber nicht die Adresse, der er aufrufen will. Diese ist mit dem Schlüssel des Nameservers verschlüsselt und kann auf dem Proxy nicht gelesen werden.

    Der Betreiber des Nameservers erfährt weiterhin, welche Adresse aufgerufen werden soll. Er weiß aber nicht von wem, denn die Anfrage kommt nicht vom Anwender sondern vom Proxy.

    Solange die beiden Betreiber nicht gemeinsame Sache machen, ist der Schutz also spürbar besser als nur mit DoH.

    Selbstverständlich kann der Anwender sich sowohl den Proxy als auch den Nameserver frei wählen.

    Die Vorwürfe, der Proxy würde einen Man-in-the-Middle-Angriff durchführen und Zensur ermöglichen, sind nicht haltbar. Denn

    1. Können Schurkenstaaten und Sicherheitsbehörden das sowieso, weil sie auf jeden Punkt ihrer Infrastruktur zugreifen können. Sie können Verbindungen sogar physikalisch kappen.
      Mitlesen können sie auch, zur Not installieren sie einen Trojaner. Manche Staaten wären in der Lage, die Hintertüren direkt in das Betriebssystem zu integrieren oder sogar auch gleich in die Hardware.
    2. Könnten sie über den Proxy keine ausgesuchten Webseiten sperren sondern nur bestimmte Nameserver. Sie würde dann aber nicht erfahren, welche Seite jemand versucht hat aufzurufen.
      Kapern sie wiederum den Nameserver, erfahren Sie, um welche "verbotenen Seiten" es ging, aber nicht, wer sie aufgerufen hat. Sie müssten schon die Kontrolle über beide haben. Also letztendlich über sehr viele oder alle, denn der Anwender hat ja freie Wahl.
    3. Sind die bisherigen Verfahren in puncto Schutz der Privatsphäre per se schlechter und viel leichter zu "hacken".

    Man darf von ODoH nicht denselben Schutzgrad erwarten, wie ihn das Tor-Netzwerk bietet. Das ist auch nicht die Intention.

    Es gibt auch diskutierte und mögliche Angriffsscenarien. Dazu sollte man aber bedenken, dass solche Angriffe ohne den Schutz von DoH/DoT/ODoH noch wesentlicher einfacher zu fahren sind.

    Es bleibt: Im Vergleich zu den bisherigen Methoden bietet ODoH ein Plus an Schutz. Es wäre besser als alles, was wir derzeit haben. Ich kann deshalb überhaupt nichts Schlimmes darin sehen, wenn Mozilla sich darauf vorbereitet.

    Ganz im Gegenteil. Hier könnten unabhängige Sicherheitsexperten überprüfen, ob die Implementation hält, was sie verspricht. Allein deshalb würde ich die Phantasien von oben ins Reich der Fabeln und Verschwörungstheorien verweisen.


    ¹: Diesen Anbietern darf am sicherlich zurecht ein Eigeninteresse unterstellen. Sollte es ein Standard werden, wird er offen sein. Und Mozilla wird gewiss niemanden zwingen, einen dieser Provider zu wählen.

    Wer wenig oder gar nichts kann, schiebt's auf den Antiviruskram.

    (Compuzius, Buch 5)