Das Vorhaben von Firefox und Chrome in Zukunft die DNS Anfragen an den lokalen Resolvern vorbei per https über wenige zentralen Dienste abzuwickeln birgt mehrere Gefahren und Probleme, die noch nicht beantwortet sind. Bis jetzt gibt es nur wenige Vorteile und auch hier nur in öffentlichen Netzen.
In öffentlichen Netzen und teilweise mit viel gutem Willen im privaten Bereich gibt es aus Sicht des Datenschutzes ein paar Argumente, die für DoH sprechen. Jedoch gerade beim Thema Datenschutz muss aber auch die Frage gestellt werden, was machen die wenigen Resolver, die Stand jetzt von den großen Internet Konzernen betrieben werden, mit all den Anwenderdaten, die sie per DoH zusätzlich bekommen? Es ist zwar jetzt der Weg vom Browser zum Resolver verschlüsselt und kann zum Beispiel durch den Provider nicht eingesehen werden, aber im Gegenzug wissen dafür aber dann US Konzerne welche DNS Anfrage man gesendet hat. Wo jetzt da der Vorteil liegen soll erschließt sich mir irgendwie nicht. Die Frage ist auch im Privaten einfach, habe ich mehr Vertrauen zu Google, Cloudflare & Co. oder zu meinem Provider wie zum Beispiel der Telekom? Was ist mit den Diensten im Heimnetzwerk, die durch den lokalen Router, wie die Fritz!Box, aufgelöst werden? Auch hier wirft die Änderungen im DNS Verhalten der Browser mehr Probleme als Nutzen für den einzelnen Anwender auf. Denn viele Anwender die automatisch ihren Browser aktualisieren und diese Funktion sich automatisch ab einer kommenden Version einschaltet, wird den Zusammenhang der dann auftretenden Probleme im Heimnetz ab diesem Zeitpunkt wirklich vor Probleme stellen.
In Bezug auf Firmennetzwerke halte ich die Idee der Browser Entwickler salopp gesagt für Schwachsinn. Die DNS Dienste in Firmennetzwerken sind ein filigranes und empfindliches Gebilde, welche über die Jahre entsprechend gewachsen ist. Teilweise gibt es dort hochkomplexe Split-DNS Konfigurationen, die das Funktionieren der internen und externen Dienste für den Anwender garantieren und jetzt nehmen sich die Entwickler der Browser heraus es bestimmen zu wollen welcher DNS Resolver ein Browser fragen soll und sich nicht an den im IP Stack zugewiesenen zu halten?! Sorry, die haben den Knall nicht mehr gehört und absolut keine Ahnung wie Firmennetzwerke funktionieren. Alleine sich anmaßen zu wollen diese Entscheidung für die Welt zu treffen zeigt nur zu deutlich, dass die Entwickler nicht wirklich wissen was sie da tun und welche Konsequenzen dies hat. Offensichtlich sehen sie die Tragweite ihrer Entscheidung überhaupt nicht und somit haben sie absolut keine Ahnung wie Netzwerke und DNS in Unternehmen funktionieren.
Ich halte überhaupt nichts davon, dass andere eine solche Entscheidung über die Köpfe von Anwendern und vor allen von Administratoren in Firmennetzwerken hinweg treffen, die sich nicht einmal der wirklichen Konsequenzen ihrer Entscheidung bewusst sind. Denn wären sie sich der Konsequenzen bewusst, dann würden sie den Anwendern oder den Administratoren diese Option nur anbieten und jeder entscheidet für sich selbst ob er nun doch einen Resolver der Internetriesen oder den Resolver nimmt, der ihm die Antworten liefert, damit seine Dienste weiter funktionieren. Aus meiner Sicht entbehrt dies nicht einer gewissen Arroganz gegenüber den Anwendern und Administratoren es besser wissen zu wollen. An dieser Stelle möchte ich noch einen weitere Punkt anmerken, wenn in Zukunft dann jeder Entwickler einer App oder Anwendung nach seinem Gutdünken sich einen Resolver am Betriebssystem vorbei auswählt, wird es für die Verantwortlichen und vor allem für die Support Teams immer schwieriger die IT am Laufen zu halten. Jeder stöhnt über die zu große Komplexität der IT Infrastruktur und jetzt setzt man mit DoH noch eins oben drauf, was so gut wie nicht kontrollierbar ist – da muss man sich ernsthaft fragen, was in deren Köpfen vorgeht bzw. in welcher Realitätsblase sie sich befinden?!
Auch lasse ich das Argument der Sicherheit nicht gelten, denn gerade in Firmennetzwerken ist die Überprüfung der DNS Anfragen der Clients auf gefährliche Hosts ein wichtiger Baustein in den Cyber Security Maßnahmen eines Unternehmens und genau dieser Schutz soll jetzt fremdbestimmt umgangen werden?! Dass kann es ja wohl nicht sein. Es ist absolut unmöglich und realitätsfremd, was sich die Entwickler der Browser und in Zukunft wohl noch andere Apps und Anwendungen hier herausnehmen und bestimmen zu wollen. Dabei will ich ihre Ziele das Internet sicherer zu machen gar nicht in Abrede stellen, aber dies ist definitiv der falsche Weg und wenn nur ein wenig mehr darüber nachgedacht wird, begreift man dies auch, dass es so definitiv nicht geht.
Sollte es dennoch gemacht werden und die Funktion DoH automatisch aktiviert werden, dann ist dies eine Steilvorlage für die Unternehmen wieder auf den IE bzw. den Edge Browser (demnächst auf Chromium Basis) zu wechseln und wieder Firefox und Chrome aus den Netzen der Unternehmen zu verbannen. Ob die Anwender in diesem Fall wieder mit einem besseren bzw. einem besser abgesicherten Browser unterwegs sind, ist die Frage und was in diesem Fall wirklich in Sachen Cyber Security insgesamt gewonnen wurde dann auch.
Das Fazit muss aus meiner Sicht Stand heute sein, die Finger davon zu lassen und nicht noch neue Probleme schaffen, für die es noch keine Lösung gibt. Chrome und Firefox sind sehr gute Browser, die ich auch gerne benutze aber dieses Vorhaben halte ich ohne die passenden Lösungen für die offenen Fragen und die Probleme in Heim als auch Firmen Netzwerken für grundlegend falsch. DoH ist eine schöne Idee aber nicht bis zu Ende gedacht oder ist nur für eine bestimmte Anwendergruppe mit Vorteilen für die Internet Konzerne gedacht und der Rest der Anwender und Administratoren ist den Entwicklern schlichtweg egal, wobei wir dann wieder bei der Arroganz sind. Schöne Ideen alleine nützen halt nichts, wenn man eben nicht das große Ganze sieht und was die Realität und Notwendigkeiten betrifft, die in den Netzwerken zu Hause und vor allem auch in den Unternehmen bestehen.