[English]Die Tage sind mir hier im Blog Kommentare aufgefallen, dass Nutzer über Probleme mit dem Firefox berichten. Die mögliche Ursache liegt in der Aktivierung von DNS over HTTPS (DoH) und Verwendung des Cloudflare DNS-Servers, wie ein Nutzer mir berichtete.
Anzeige
In diesem Kommentar beklagt sich ein Lesers über Probleme mit dem Firefox 114.1, der Timeouts und diverse Fehlfunktionen zeigen soll und schreibt:
Ich hab hier übrigens gerade massive Probleme mit dem FF 114.1, teils Timeouts beim Abrufen von Webseiten, Browsertab-Abstürze und diverse Addons funktionieren zeitweise nicht, uBlock hat zwischendurch keine Elemente blockiert, "open in Microsoft Edge" tut gerade gar nicht. usw. Vorher 113, damit kein Problem.
War mir mit der Antwort eines anonymen Nutzers in Erinnerung geblieben, der dort folgende Information hinterließ (danke dafür):
Mal als Tipp weil mir das gerade auf einem System aufgefallen ist. Mit dem Update auf 114 wurde bei mir auf einem System DNS over HTTPS aktiviert. Das kann genau so einen Mist verursachen, weil der DNS von Cloudflare halt keine passenden IPs für deinen Provider liefert. Ich z.B. kann den DNS-Resolver von Quad 9 nicht nutzen weil mir sonst der Epic Client erzählt ich hätte keine Lizenzen für meine Spiele.
Der Kommentar hier, dürfte dagegen in eine andere Rubik fallen. Nun hat mich Blog-Leser Rüdiger per Mail kontaktiert und einige erhellende Informationen beigesteuert. Er schrieb dazu:
Firefox Update 114 aktiviert DoH und erzeugt damit unter Umständen Probleme
Hi Günter,
weil es für den einen oder anderen vielleicht spannend ist. Mit dem Update 114 scheint Mozilla im Firefox auf manchen System DNS over HTTPS mit Cloudflare als DNS Resolver zu aktivieren.
Auswirkungen können z.B. langsames Laden von Webseiten sein. Erfahrungsgemäß ist ein anderer Resolver als der vom Provider gerade bei der Telekom nicht ganz unproblematisch. Deswegen habe ich auch vom Verhalten des Browsers ziemlich schnell diese Einstellung im Verdacht.
Die Einstellung findet sich bei Sicherheit und Datenschutz ganz unten bei DNS über HTTPS. Wer Probleme hat sollte das deaktivieren bzw. wenn man mich fragt sollte man das ja immer deaktivieren :)
Viele Grüße
Rüdiger
An dieser Stelle mein Dank an Rüdiger. Dieser Hinweis sieht mir so aus (mag mich täuschen), als ob er das obige Problem des Blog-Lesers mit dem muckenden Webseiten im Firefox lösen könnte. Betroffene können ja prüfen, ob DOH aktiviert ist.
DNS over HTTPS (DoH) ist ein Protokoll zur Durchführung einer DNS-Auflösung über das HTTPS-Protokoll. Das Ziel ist es, die Privatsphäre und Sicherheit der Benutzer zu erhöhen, indem das Abhören und Manipulieren von DNS-Daten durch Man-in-the-Middle-Angriffe verhindert wird.
2015
Die Idee ist gut, aber das ist es nicht. DOH ist per lokaler Browsereinstellung bzw. GPO deaktiviert, ich/wir halten das nachwievor für ein Datenschutzrisiko, wenn ein amerikanischer DOH-Provider alle meine DNS-Aufrufe sieht, die bekommt nur mein lokaler ISP, bzw. das erledigt der Proxy , DoH-Abfragen nach Draußen haben wir schon unterbunden, als es damit erste Versuche gab.
gibt ja zum Glück auch noch ein paar vertrauenswürdigere DOH (und DOT) statt cloudflare die man nutzen kann.
Aber welche sind denn schnell und gut?
Habe lange CensurfriDNS genutzt – aber der war zu langsam und führt zu Fehlern. Ich kann da nicht alles finden.
Hast du einen guten Vorschlag?
siehe Infos unter
https://www.digitale-gesellschaft.ch/dns/ (DoH / DoT)
https://digitalcourage.de/support/zensurfreier-dns-server (zZ leider nur DoT)
(
wie vertrauenswürdig dieser ist weiß man noch nicht:
https://https://www.dns0.eu/ bzw. https://www.dns0.eu/open
)
Hier gibts eine kurze, aber gute Liste:
https://www.privacy-handbuch.de/handbuch_21w.htm
Selber habe ich seit fast zwei Jahren gute Erfahrungen mit dnsforge.de gemacht (inklusive Adblocking).
Moin, habe zu der Problematik einen kleinen "Gegenvorschlag" ;-)
Habe bei mir schon seit längerem das Problem beobachtet, dass wenn ich mir den Firefox, bzw. den Libre Wolf einrichte, ich ab einen gewissen Punkt, bei den von mir vorgenommenen Einstellungen(Härtung), das Problem entsteht, das DNS over Https nicht mehr gescheit funktioniert.
Es kommt zum Leck und der DNS Server fällt auf den DNS Server des DSL-Anbieters sporadisch zurück.
Habe diesen Krampf nach längeren Gesuche mit der Einstellung :
Sicheres DNS aktivieren – Maximaler Schutz auf Benutzerdefiniert und manueller DNS Adresse in den Griff bekommen ( ).
Falls jetzt nochmal Cloudflare oder der Fuchs rumzickt, kommt ein Fenster das fragt(!!!) Adresse….bla,bla über anderen DNS suchen/finden….
Dann einfach nochmal mit Cloudflare suchen und tada – Seite ist da.
Aufgefallen ist mir das seit Monaten, da ich zu den paranoiden Kandidaten gehöre, die jedes mal, wenn sie denn einen VPN aktivieren, die Verbindung mit browserleaks.com, auf ihre Funktionalität hin, überprüfen.
Im Verdacht habe ich in diesem Zusammenhang den uBlock Origin(strenge Einstellungen/eigene Regeln und Filter).
Aber wie gesagt möchte ich mich hier als Laie nicht zu weit aus dem Fenster lehnen.
Vielleicht hilft meine Beobachtung dem ein oder anderen ja weiter.
—Grüße—
DoH ist nicht schlecht (!) Die Gegenstelle sollte jedoch 1. Trustworthy 2. (wie jeder DNS Server) verfügbar und 3. für Einsatzzweck geeignet sein. Schlecht ist evtl der Default Cloudflare-DNS (nach Umstellung von tausenden überlastet?). @ C.Waldt – bei 1.1.1.1 mag ich den Betreiber Cloudflare nicht, s.u. – auch wenn Du damit ein "resolve" sparst. Ebenso hatte ich schon Konstellationen wo es umbedingt ein FQDN sein sollte – auch wenn ein "DNSLookup für den DNS-Server selbst" erst einmal unsinnig scheint, bei FF scheints zu gehen)
Firefox hat den Roleout um 2020 angefangen, siehe zB Hackernews. Gesteuert wird er uA durch das Plugin doh-rollout@mozilla.org.xpi (gelistet zB via "about:support").
Merke: Firefox hat Default wohl eine interne/eigene DNS-Auflösung, finde den alten Blog bei Günter von uns dazu nicht.
Konfiguration:
– Wie Oben durchnavigieren – per: about:preferences#connection, via about:config oder als Zeile im prefs-config-File in den Usersettings.
– Relevant für Einige ist vll das Editierbare:
-> "DNS über HTTPS aktivieren"
-> "DNS-Server" ist beliebig änderbar (nach Recherche)
about:config Key: "doh-rollout.uri" Format: "https://servername/dns-query
So wird es in prefs von FF ausgerollt:
user_pref("doh-rollout.uri", "https://mozilla.cloudflare-dns.com/dns-query");
Hart am Thema sind die Schlüssel network.trr.custom_uri (dauerhaft per GUI eingestellter Server) oder network.trr.default_provider_uri (mW wird der "Rollout"-Servername nur 1x genutzt und verwaist dann. Wenn also beim Rollout etwas schief ging hilft vll gucken)
Die Endung "/dns-query" ist essentiell … Diverse DNS-Betreiber veröffentlichen hierzu Ihre Server-URL.
Merke: DoH ist nicht DoT, DoT nutzt sehr oft :853, die Fritzbox nutzt für DoT "nur Servernamen" ohne Port.
Server wären zu recherchieren, (meine kriegt Ihr nicht :-p) die meisten Provider bieten dies derzeit (versteckt dokumentiert) an. Ebenso gute Quellen: digitale-gesellschaft.ch, Uni München, uncensoreddns.org,
@ C.Waldt – Fallback Lösung wäre wohl die Konfiguration von 1. DoH im Browser – 2. die Konfiguration des Systems (Netzwerkeinstellungen,DNS) sowie 3. eine Konfiguration des Routers (idR per DoT, siehe Syntax oben). Damit wärs recht redundant. Tip: verschiedene Anbieter nehmen …
Die Probleme haben nichts mit Überlastung des DNS zu tun. Ich glaube das bekommt Cloudflare hin, ist ja schließlich deren Geschäft :)
Das Problem ist das der DNS bei der Namensauflösung z.B. vom CDN eine unpassende IP zurückliefert. Dein Provider hat dort hin halt vielleicht kein gutes Peering oder noch blöder es wird eine IP aus den USA aufgelöst. Dann lädt die Seite langsam oder gar nicht. Deswegen halte ich auch nichts von der pauschalen Aussage andere DNS Server als die vom Provider zu nutzen, denn das kann gewaltig in die Hose gehen!
Dafür halte ich nichts von der pauschalen Aussage, dass man keinen anderen als den DNS des ISP nutzen sollte. Genau das passiert bei mir nämlich seit Jahren nicht mehr, weil die ISP anfingen, die Ergebnisse meiner DNS -Anfragen zu manipulieren.
Ich betreibe seit Jahren eigene DNS und habe keinerlei Probleme mehr. Und ein Programm, das ungefragt an meinen Standardeinstellungen vorbei agieren möchte, fliegt schneller von der Platte, als es den Weg dahin gefunden hat.
Beiträge vom Blog-Chef, Thema DNS + Firefox:
DoH im Releasechannel, 2018
Firefox, Cloudflare-DNS Sündenfall, 2018
DoH mit firefox gibt es schon seit einigen Jahren ! Bei mir funzt das alles wunderbar!
Der Knackpunkt ist das es jetzt auch auf bestehnenden Installationen nachträglich mit Cloudflare als Resolver aktiviert wird und eventuelle Probleme damit auch jetzt erst auftreten. DoH ist ja nicht das problem sondern der Resolver ist es. Es gibt halt Konstellationen von Resolvern und Providern die nicht zusammen funktionieren. wenn der DNS vom CDN eine IP auflöst zu der dein Provider ein schlechtes Peering hat dann gibts halt Probleme.
DNS Auflösung im Browser ist generell eine ganz schlechte Idee und kommt mir nicht auf mein System. Für die Namensauflösung gibt es im System genau einen Resolver und die Konfiguration bestimme ausschließlich ich selbst (in meinem Falle geht der auf einen Resolver in meinem netzwerk, der direkt aus den root Servern gespeist wird und somit jegliche Zensur mittels manipulierten DNS Abfragen umgeht. Der kann übbrigens bei Bedarf auch DoH.
Erstens hat DoH massive Nachteile und schwächt Cybersecurity massiv (siehe zb https://www.zdnet.com/article/dns-over-https-causes-more-problems-than-it-solves-experts-say/), und zweitens: warum sollte ich alle meine DNS Anfragen an eine US-Firma senden wollen? Und vor allem: warum sollte das der Browser am Client entscheiden!? Damit disqualifiziert sich Firefox wieder mal als Enterprise-fähiger Browser.
Was beim Edge Artikel "Privatsphären-GAU" übertrieben war, ist hier mit "ggf. Probleme" massiv untertrieben. DoH kann unter anderem Enterprise-Lösungen außer Betrieb setzen, die DNS-Anfragen über spezielle Dienste abwickelt, um User zu schützen und Daten eben nicht an die USA weitergeben, wenn nicht unbedingt nötig.
Hallo
Kurze Frage: Ist die oben genannte Versionsnummer korrekt.
Bei uns ist 114.0.1 aktuellste Version. Oben wird 114.1 genannt?!
Bei der üblichen Versionierung von Firefox bedeutet das einen gewissen Unterschied.
Gruß Arne
Ist imho letztlich egal, ob es die 114.0 oder die 114.0.1 ist. Ich tippe eh darauf, dass das als Test nur bei bestimmten Nutzern serverseitig aktiviert wird (mag mich aber täuschen).
114.0 oder 114.0.1 ist sicher egal, aber hier ist von 114.1 die Rede. Das ist mir auch sofort ins Auge gesprungen. Insofern ist der Einwand berechtigt. Irgendwann in naher Zukunft wird es eine 114.1 geben und dann passt der Artikel nicht mehr.
Ok, hast mich überzeugt – ist wohl 114.0.1 vom Tipp-Geber gemeint.
In meinen Augen ist es ein absolutes NoGo, das der Browser selbst anfängt, Adressen aufzulösen. Er hat grundsätzlich und immer den DNS des Systems zu benutzen. Wir biegen hier diverse Adressen über unseren eigenen DNS um – das würde damit ja komplett ausgehebelt werden. Wie kann man sich nur einen solchen Schwachsinn einfallen lassen. Firefox wird auch immer mehr zum Problemkind – langsam gehen mir die nutzbaren Browser aus :-(.
Ich gebe Dir ja recht, aber DAS zu korrigieren sollte wirklich nicht soo schwer sein!
Schlimmer sind die ganzen Gaus der anderen Browser in den Griff zu bekommen, finde ich.
Habs gestern geändert ging einfach, hatte zwar keine Probleme aber ich mags halt nicht. Und ja lieber Firefox als das ganze andere Geraffel.
Wenn die Hersteller von Programmen nun auch noch anfangen, die Reihenfolge der möglichen Quellen für Namensauflösung zu umgehen, dann wird das wirklich Zeit, sich nicht nur von den Herstellern der Programme komplett abzuwenden, sondern auch bei jeder sich bietenden Gelegenheit dafür zu sorgen, dass auch andere sich abwenden.
Wenn man mit der Telekom unterwegs ist oder sie mag, dann geht dieser hier:
Listen und Server DoH/DoT
Liste Github via curl mit 100+ DoH Servern und Tools
Liste Server vom Firewallprojekt IPFire: Ca. 50 DNS-Server, Fokus Firewall/Router
Server von DigitalCourage mit DoT zB f. Firewall oder Frizbox (von oben).
Server der dgitalen Gesellschaft mit DoT + DoH
Tools
Check-Tool von Cloudflare: Browserleaks, Location, used DNS, WebRTC, Plugins, Mimes
Search-DNS via Netcraft, Suchtool hier ohne Parameter
Check-DNS von Cloudflare mit Nutzungs-Infos über DoH, DoT, WARP oder AS-Name
Check-Tool von Cloudflare mit Info über SecureDNS, DNSSEC, TLS + SNI
Forschung, Risiko, Literatur
Forschung Research Center Athene/Fraunhofer: Links zu DNS und Cross Domain Injection
Empfehlungen des GOV Defense ,PDF ,Thema "protective DNS"
Studie der Uni London ,PDF, "Cost of DoH"
Studie vom Research Center Athene/Fraunhofer ,PDF, DoH Performance
Kritik bei ZDnet: Limitierungen DoH, Securitylimits (Danke an @Joachim oben)
Kritik bei Wikipedia: Content Blocking, C&C, …
Super, danke!