DNS over HTTPS mit Firefox

[rudolf]

Da wir uns gerade so schön mit DoH (DNS over HTTPS) beschäftigen, man kann auch bei Firefox einstellen, dass der einen bestimmten DoH Server benutzt statt des DNS vom System.
Damit kann man dann einfache Vergleiche anstellen, indem man noch einen Beta von Firefox installiert und die Ergebnisse vergleicht.
Man kann mal eben in einem Öffentlichen Wlan surfen und ist etwas sicherer.
Man kann bestimmte Server mit DoH testen ohne das gleich alles zusammenbricht.

Dieser Thread ist nicht über Firefox, also bitte keine Diskussionen über Firefox, es sei den es geht um DoH! Und liebe Mods, bitte den Thread nicht zu den Browsern verschieben.

Hier ist eine lange Anleitung wie man FF dazu bringt, einen bestimmten DoH Server zu nutzen:
DNS-over HTTPS Implemtierung in Firefox

Und nun das ganze in Kurzform:

Man geht in Firefox auf about:config,

--- Update 26.9.2019- das folgende sollte nicht mehr gesetzt werden, es sei denn es geht anders nicht ---
sucht OCS, und setzt:
security.OCSP.enabled = 0
--------- Ende Update ---------------------------------------

Dann sucht man trr, und setzt:
network.trr.mode = 2
network.trr.uri = https://doh.securedns.eu/dns-query
network.trr.bootstrapAddress = 146.185.167.43

Dannach besser nochmal neu starten, und Firefox nutzt nun securedns.eu als DNS mit DoH. Geht man dann mit Firefox auf die Adresse securedns.eu, so sieht man obem rechts ob es geklappt hat und man deren Server nutzt.

Man kann bei FF auch about:networking#dns eingeben, und sieht einiges über das dns. Am Ende gibt es eine Spalte trr, unter der true stehen muss wenn es geht.

Wenn man network.trr.mode = 3 in about:config setzt, dann wird ausschliesslich der DoH server benutzt, bei 2 wird der DNS vom System als backup genutzt.

Ich habe bei mir im Wlan zur Probe beide DNS auf 127.0.0.1 gesetzt, dann geht nichts mehr im Internet bei allen Apps ausser bei Firefox, also nutzt der eindeutig den eingestellten Server und nicht das DNS vom System.

Wer lieber Cloudfare nutzen möchte:
network.trr.uri = https://mozilla.cloudflare-dns.com/dns-query
network.trr.bootstrapAddress = 104.16.111.25

Oder Keweon:
network.trr.uri = https://sec.keweon.center/keweonDNS
network.trr.bootstrapAddress = 195.201.229.74

Wen es interressiert, Cloudfare ist in USA, Securedns in NL und Keweon in D.
Diese Anleitung funktioniert auch bei Windows und Linux.

 

[rudolf]

Es gab aktuell Meldungen über Probleme bei DoH, die sind wohl nicht ganz korrekt:
Verschlüsseltes DNS: Falschmeldung in Propagandaschlacht um DNS über HTTPS - Golem.de
Ich halte es weiterhin für Sinnvoll, Firefox mit DoH und den richtigen Servern zu nutzen. Und ich tue das auch.

 

[copy&paste]

Guten Morgen
Wenn du von "richtigen Servern" sprichst, meinst du welche genau? Oder welche Kriterien nach denen User und Userinnen selektieren sollten. Und wenn es "richtige" gibt, gibt es zwangsläufig auch "falsche". Welche Kriterien legst du dort an?

 

[rudolf]

Ich nenne die grossen:

SecureDNS ist für mich richtig, weil in der EU und verspricht nicht zu loggen.

mozilla.cloudfare ist so mittendrin, weil die zwar irgendwelche kompromisse mit Mozilla haben, aber undurchsichtig und in den USA. Der ist aber mein Backup in anderen Fällen, Firefox kann nur einen.

cloudfare und quad9 werden sicher sich merken was ich so tue, und das will ich nicht.

Ganz richtig wäre natürlich der eigene Server.

Es gibt sicher auch noch andere die in Betracht kämen:
curl/curl
vysecurity/DoH-Servers
oneoffdallas/dohservers

 

[rudolf]

Wer wissen möchte was genau die aktuellen Parameter in about:config bzgl. DoH bedeuten kann hier nachlesen, leider nur englisch:
Inside Firefox’s DOH engine | daniel.haxx.se

 

[MrT69]

Ich hab inzwischen herausgefunden dass für meine DoH Server bei FF folgende Einstellungen optimal sind.

OCSP muss auch nicht mehr deaktiviert werden da ich kein LetsEncrypt Zertifikat nutze.

Der Eintrag bei trr.resolvers sieht wie folgt aus:

[{ "name": "keweonDNS", "url": "https://dns.keweon.center/nebulo" }]

Und der trr.mode ist 4. Was bedeutet das?

Ich denke die haben das extra für keweon eingebaut denn die großen DoH Anbieter arbeiten alle mit ner IP Adresse, auch im Zertifikat. Kann ich mir ned leisten, doch dafür gibt es den 4er Mode. Somit steht es wieder unentschieden.

Manchmal haben meine DoH Server Aussetzer. Das passiert dann wenn länger als 5 Minuten die DoH Server nicht gefragt werden und dann stockt das ganze. Reicht auch bereits ein schlechtes Netz und dann zickt DoH.

Doch genau dafür ist der 4er Mode da. Wenn also mal die Verbindung abreißt oder aussetzt, kommt man mit einer URL nicht weiter wenn man den DNS abfragen will. Ergo, es hängt. Wenn dass der Fall ist, dann geht bei Mode 4 Mozilla auf den DNS Server des Betriebssystems, löst den DoH Namen auf, übergibt die IP dem Browser und schon kann der wieder normal funktionieren.

Wenn ihr also einen DoH Server habt der etwas zickig ist, einfach den Mode 4 nutzen und schon läuft es schneller.

 

[rudolf]

Ich habe einen neuen DoH Server ohne logging usw. in der Schweiz entdeckt:
network.trr.uri = https://doh.securedns.eu/dns-query
network.trr.bootstrapAddress = 185.95.218.42

Digitale Gesellschaft (Schweiz) – Wikipedia

Öffentliche DNS-over-TLS- und HTTPS-DNS-Resolver - Digitale Gesellschaft

 

[rudolf]

Und der trr.mode ist 4. Was bedeutet das?

Laut dem in meinem Beitrag #5 verlinkten Blog bedeutet 4 dass:

"4 – Shadow mode. Runs the TRR resolves in parallel with the native for timing and measurements but uses only the native resolver results."

Dann würde dein DoH garnicht genutzt. Hast du das mal mit einer URL geprüft, die du blockst?

 

[MrT69]

@rudolf

Sorry dass die Antwort etwas dauert, kam gestern etwas spät raus aber ich habs dank deinem Feedback nochmals ausprobiert. Und du hast völlig recht. Ich hab den Fehler gemacht und hatte den DoT am Handy drin, deswegen hab's ich auch nicht gemerkt.

Zudem hab ich die Info von einem User auch 1:1 übernommen ohne dass ich das (anscheinend) richtig überprüft habe. Fakt ist, mit der 4 geht das leider auch nicht richtig am Handy.

Sorry & danke!!!

 

[rudolf]

Die 2 ist die Option bei der erst DoH versucht wird, und wenn der nicht reagiert der DNS vom System benutzt wird. Also das was du wolltest.

 

[MrT69]

@rudolf

Manchmal hängt das aber. Bei Desktop Umgebungen kann ich das über die HOSTS Datei lösen. Wenn da die DoH Server drin sind dann ruckelt da nix mehr.
Es gibt noch Option 3, also der DNS normal und DoH, wobei der schnellere gewinnt (ich glaub das war 3) aber bei der Kindergarten Infrastuktur bin ich derzeit leider immer der langsame mit DoH.
Auch blöd...

 

[rudolf]

Wer nur eine URL für seinen DoH Server hat, und die trr.bootstrap möchte, die gibt in folgender Seite diese URL ein und wählt Hostname to Adress Lookup IPv4

heise online

 

[meik0N]

Nur zur Info: securedns.eu hat den Betrieb zum 30. April 2020 eingestellt! Der Aufwand wurde wohl zu groß, schade.
Rick Lahaye posted on LinkedIn

Kann aber geforkt werden, vielleicht findet sich ja jemand.
Building a secure DNS infrastructure like SecureDNS.eu

 

[Fulano]

Moin,
wäre dnsforge.de eine Alternative zu SecureDNS für dich?


Wird auch im Blog von Mike empfohlen.

Gruß

 

[rudolf]

Ich nehme die schweizer Digitale Gesellschaft:

uri: https://dns.digitale-gesellschaft.ch/dns-query
boot: 185.95.218.42

Dnsforge filtert Werbung usw, DG nicht!

Wer dnsforge möchte:

uri: https://dnsforge.de/dns-query
boot: 176.9.93.198