Firefox aktiviert DoH für Anwender in den USA

Die Entwickler von Firefox setzen trotz aller Kritik ihren eingeschlagenen Weg fort und aktivieren für Benutzer in den USA DNS over HTTPS (DoH) über die DNS Server von Cloudflare. Daher ist es nur eine Frage der Zeit, bis dies auch für die anderen Benutzer außerhalb der USA aktiviert wird.

Es ist schlichtweg nur arrogant sich anmaßen zu wollen, welchen DNS ein Anwender zu verwenden hat, die vom Administrator im Betriebssystem nicht ohne Grund vorgegebene DNS Server zu ignorieren und dann noch alle DNS Anfragen an eine US Cloud zu schicken. Als Rechtfertigung wird das Argument der Sicherheit bemüht, wobei man sich schon fragen muss, was dies mit “Sicherheit” zu tun hat, wenn ein Anbieter alle Anfragen frei Haus geliefert bekommt und DNS Abfragen somit nicht mehr wie vorgesehen funktionieren?

Unabhängig davon hat sich eine Applikation nicht herauszunehmen eigenmächtig zu entscheiden, welcher DNS verwendet werden soll. Dies ist einzig und alleine eine Sache des Betriebssystems – Punkt! Dem ist auch nichts weiter hinzuzufügen.

Am meisten stört mich, dass die Entwickler von Firefox die im vollen Umfang berechtigte Kritik, wie zum Beispiel Split-DNS Szenarien, die im Umfeld von Unternehmensnetzwerken absolut üblich sind oder DNS Security Filter als Teil der Sicherheitsstrategie von Unternehmen an sich abprallen lassen und nicht einlenken wollen. Da ist es auch wenig hilfreich, dass mit Group Policies oder NXDOMAIN Antworten auf bestimmte Domains das “neue Feature” temporär deaktiviert werden kann. Es wird sich einfach herausgenommen, den Administratoren unnötige zusätzliche Arbeit aufzubürden und die ohnehin schon komplexen Umgebungen mit eigenmächtigen Eingriffen in den DNS noch komplizierter zu gestalten. DoH an sich ist nicht das Problem, sondern nur das Verhalten von Firefox bzw. dessen Entwicklern selbst. Ein Anwender müsste normal aktiv “Ja” sagen, dass er all seine DNS Anfragen (Profiling Daten) zu Cloudflare in den USA schicken möchte und nicht die Entwickler dies bestimmen zu lassen. Ob dieses mit der DSGVO vereinbar ist, bezweifle ich doch sehr stark.

Da alle Kritik ganz offensichtlich nichts nützt, hat man in Zukunft dank Firefox noch zusätzliche Arbeit die angeboteten Abschaltmechanismen zu implementieren in der Hoffnung, dass diese für die Anwender von Firefox greifen. Sollte das nicht funktionieren, dann freuen sich mich sicherheit die Support Teams, dass sie auch mal wieder was zu tun haben – danke Firefox, ganz großes Kino!

Google bzw. die Entwickler von Chrome verstehen diese Problematik bzw. haben die Kritik ernst genommen und ihre DoH Umsetzung anders gestaltet. Chrome prüft, ob der angegeben DNS Server DoH unterstützt und schaltet dann auf das DoH Protokoll um. Der große Unterschied ist, dass der DNS gefragt wird, der vom Administrator vorgegeben ist. Der Client verhält sich damit genauso, wie es die Vorgabe ist, damit auch alle internen Zugriffe bzw. Intranet Systeme wie gewohnt angesprochen werden können, vor allen Dingen, ohne zusätzliche Arbeit für die Administratoren!

Grundsätzlich muss die Frage erlaubt sein, was will man mit einer Applikation die sich eigenmächtig über Einstellungen hinwegsetzt, die für einen reibungslosen Betrieb notwendig sind? Oder anders, was will man mit einer Applikation mit der man zusätzliche Arbeit hat, damit diese wieder “normal” funktioniert?

DNS ist und bleibt Sache des Betriebssystems und ist nicht die Aufgabe einer Anwendung, man muss sich nur das Chaos vorstellen, wenn in Zukunft noch mehr Anwendungen ihren eigenen DNS nutzen und jeder Softwarehersteller einen Vertrag mit dem von ihm bevorzugten Partner schließt – viel Spass beim Debug.

Damit manövriert sich Firefox vor lauter eigener Arroganz es besser wissen zu wollen als andere, von ganz alleine immer mehr ins Abseits. Es ist ja nicht so, als gebe es als Browser nur Firefox, im Gegenteil, die Versionen vor Quantum waren wirklich unterirdisch und Firefox hatte immer weniger Anteile bei den Browsern. Zwar habe ich persönlich trotzdem zu dieser Zeit an Firefox festgehalten, was auch ein wenig mit meiner damals2 vorliebe für Netscape zu tun haben dürfte. Bei den aktuellen Entwicklung und dem Verhalten wird sich das Thema Firefox tendenziell erledigen.

Zu diesem Schluss dürften wahrscheinlich noch ein paar mehr kommen und Firefox als Browser aus den Unternehmen zu verbannen. Dazu passend bekommt der Edge Browser von Microsoft den Chromium Unterbau bzw. schickt sich Google an, die Benutzung von Chrome für Administratoren sehr leicht administrierbar zu gestalten. Damit dürfte Firefox der absoluten Monokultur mit Chrome bzw. Chromium den letzten Schubs gegeben haben um diese auf die Zielgerade zu bringen. Da hat man mal richtig gut nachgedacht wie man Administratoren für sich gewinnt und ein Produkt schafft, welches auf die Wünsche der Nutzer bzw. der Administratoren eingeht. Alleine durch die Support Teams wird die Abwahl von Firefox ganz schnell von statten gehen, es müssen sich nach der Einführung von DoH im Firefox nur die Supportfälle häufen, dann kommt ganz schnell die Antwort von den Teams; Firefox wird nicht supportet, nur Chrome, Edge oder Safari. Damit ist dann eher mehr als weniger das Ende im Unternehmen von Firefox besiegelt. Gerade jetzt, wo das BSI im Dokument für Mindeststandard bei Browsern Firefox ein sehr gutes Ergebnis ausstellt, in Zukunft Daten ungefragt an eine US Cloud schicken zu wollen, ist salopp gesagt besonders dämlich. Dies wäre die Gelegenheit gewesen in den europäischen und insbesondere durch das BSI in den deutschen Unternehmen präsenter zu werden. So wird dies aber nicht funktionieren und dies hat auch Auswirkung auf den privaten Bereich, der Anwender nutzt das, was er gewohnt ist. Aber wenn dies das Ziel der Firefox Entwickler war, dann kann man nur sagen: Mission erfüllt.

In der Hoffnung, dass die Einsicht bei den Entwicklern doch noch einsetzt und es verstanden wird, dass es keine gute Idee, wenn Anwendungen eigenmächtig über den DNS entscheiden und auch das senden aller DNS Anfragen an Cloudflare als Resolver….