Guten Nachrichten von Fedora. Wie wir so eben einer relevanten Fedora Mailingliste entnehmen konnten, planen die Fedora Entwickler das DoH in Firefox nicht zu aktivieren, wenn es kommt.
DNS over HTTPS in Firefox
Das Thema hat ganz schön fĂŒr Wellen gesorgt. Ohne mich zu wiederholen, ist die Essenz ĂŒber DoH, daĂ es vom Prinzip her ok ist, aber eben durch die Zentralisierung im Firefox auf Cloudflare so nicht akzeptabel ist. Da der Bundesdatenschutz Ă€hnliche Bedenken gezeigt hat, wie sie auch mir und Anderen gekommen sind, wĂŒrde das in Europa fĂŒr Mozilla vermutlich nicht besonders gut ausgehen, um nicht zu sagen, daĂ es ein sehr teures Experiment wĂŒrde.
Ein Fedora Entwickler bekundete in der ML dann auch, daĂ es in der Form nicht defaultmĂ€Ăig aktiviert sein wird. Zieht man sich aber Firefox von der Mozillaseite direkt, z.b. wegen einer ESR Version, wĂ€re das natĂŒrlich anders.
Ich fĂŒr meinen Teil sage, daĂ jemand, der am DNS rumspielt, extrem viel Ahnung davon haben sollte, was DNS fĂŒr alle bedeutet, um sinnvolle Entscheidungen zu treffen. Mozilla und Cloudflare zĂ€hle ich jetzt nicht zu dem Kreis, sonst wĂ€re diese Entscheidung so nicht gefallen. Da ich das Thema erst heute in einem 90 MinĂŒtigen Vortrag mal von mehreren Seiten beleuchtet habe, kann ich sagen, daĂ so „simple“ der Dienst auch erscheinen mag, alle nachtrĂ€glichen Security Erweiterungen sind daran gescheitert. DNS SEC z.b. hat zwar fĂŒr Vertrauen in das Ergebnis gesorgt, ist aber auch nicht in allen Ecken und Enden der Server und Desktopanwendungen angekommen. Man mag es nicht glauben, aber das Fedora Repo kennt gerade mal eine Handvoll Pakete und die meisten davon sehen aus, als wenn es nur Teile ein und desselben Programms sind.
DNS-over-TLS, was technisch DNS-over-HTTPS sehr nahe kommen wird, ist auch so ein Krisenfall. Die Ursache dafĂŒr liegt darin, daĂ gute Krypto immer bedeutet, daĂ mehr in Aufwand, Rechenleistung,Zeit und DatengröĂe investiert werden muĂ, was es insgesamt teuer und langsam macht. Das wollte Mozilla mit dem Alleingang vermutlich vermeiden, aber dafĂŒr die PrivatsphĂ€re opfern geht ja mal gar nicht. Aber vielleicht meinten sie das ja auch ironisch, weil die VerschlĂŒsselung sollte ja genau das verbessern, was es faktisch natĂŒrlich nicht tut đ
Gegen die Idee, daĂ auch der Inhalt von DNS gegen abhören gesichert ist, spricht auĂer der Rechenleistung, dem Keymanagement, der DatenblockgröĂe eigentlich nichts. Allerdings habe ich so meine Zweifel, ob das in den 1 $US IoT Chips jemals sauber implementiert sein wird.
Bleibt nur zu hoffen, daĂ das Ziel Encrypted DNS irgendwann mal funktioniert.