Aktualisierungen gibt es im Changelog, als RSS-Feed
oder im [matrix] Raum #prhdb-changes:nitro.chat

Privacy-Handbuch

DNS (Domain Name Service) ist das Telefonbuch des Internet. Es übersetzt lesbare URLs wie www.privacy-handbuch.de in die IP-Adresse des Servers, der diese Webseite zur Verfügung stellt. Eine ausführliche Anleitung dazu findet man im Kapitel DNS und DNSSEC.

Firefox und Thunderbird können DNS-over-HTTPS nutzen, um die DNS Daten beim Sufen zu verschlüsseln und eine Zensur durch DNS-Server der Provider zu umgehen. Das Feature heißt TRR (Trusted Recursive Resolver). Die Konfiguration ist einfacher, als einen DNS Daemon mit DNS-over-TLS Support oder DNSCrypt zu installieren. Es schützt allerdings nur den DNS Daten­verkehr beim Surfen mit Firefox und alle andere Anwendungen nicht.

Da DNS ein zentraler Dienst für alle Internet Anwendungen ist, ist eine zentrale Konfiguration vertrauenswürdiger DNS Server sinnvoller als die Konfiguration einzelner Webbrowser. 

Kein ESNI ohne DoH

Firefox unterstützt Encrypted Server Name Indication (ESNI) für TLS 1.3 verschlüsselte Verbindungen nur, wenn DNS-over-HTTPS aktiviert ist! Um ESNI zu verwenden, muss der Browser einen TXT Record der Webseite aus dem DNS abrufen. Das geht nur mit dem ein­gebauten Trusted Recursive Resolver. Außerdem muss folgender Wert aktiviert werden: network.security.esni.enabled = true

Auf der Testseite von Cloudflare kann man prüfen, ob es funktioniert.

ESNI könnte ein Grund sein, DNS-over-HTTPS im Browser zusätzlich zu aktivieren, auch wenn man bereits eine sichere DNS Namensauflösung auf Systemebene konfiguriert hat.  

Browserfingerprinting mittels DNS Server

Eine Trackingdienst könnte ermittlen, welcher DNS-Server vom Browser verwendet wird, und diese Information als Parameter für das Fingerprinting des Browser verwenden:

  1. Der Webserver sendet im HTML Code ein kleines, überflüssiges Element, dass von einer zufällig generierten Subdomain des Trackingservice geladen werden soll.
  2. Der Browser versucht die IP-Adresse für diese Subdomain zu ermitteln. Der konfigurierte Upstream DNS-Server hat die Information nicht im Cache und muss deshalb den authorativen Server des Trackingdienstes anfragen.
  3. Der authorative DNS-Server des Trackingdienstes registriert die DNS Anfrage und die IP-Adresse des anfragenden DNS-Servers und sendet beides an den Trackingservice, wo die Information mit dem Aufruf der Webseite korrelliert werden kann.

Es gibt bisher noch keine empirischen Studien, die untersucht haben, ob dieses Verfahren "in the wild" genutzt wird. Aber es ist prinzipiell möglich. Deshalb sollte man kurz nachdenken, ob es Gründe gibt, einen selbst ausgewählten DNS-Server zu nutzen, ob der Vorteil an Sicherheit und Schutz gegen Zensur evtl. unerwünschte Nebeneffekte kompensiert.

(Trackigdienste, die via uBlock Origin o.ä. blockiert werden, können auch nicht den DNS Server auswerten.)

Konfiguration von DNS-over-HTTPS in den Netzwerk Einstellungen

In den Einstellungen für die Netzwerkverbindung kann man DNS-over-HTTPS aktivieren und die URL für den DNS-Server eintragen, wenn man die Option "Custom" wählt:
DNS-over-HTTPS in Firefox aktivieren
Wenn man eine von unseren user.js Konfiguration installiert hat, dann kann man einen privacy-freundlichen Provider direkt auswählen, der HTPPS-over-DNS anbietet:
DNS-over-HTTPS Server vom Privacy Handbuch
Dabei wird der TRR-Mode 2 aktiviert. Es wird der TRR Server verwendet und nur wenn dieser nicht funktioniert, wird der DNS-Server vom System genutzt. Die IP-Adresse des DNS-over-HTTPS Servers (network.trr.bootstrapAddress) wird vom DNS-Server des Systems ermittelt.

Alle Optionen für Experten

Mit folgende Werten könnte man DNS-over-HTTPS unter "about:config" konfigurieren: 
Lizenz: Public Domain