Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Firefox begint deze maand met uitrol van dns-over-https

Firefox begint met de uitrol van dns-over-https voor Amerikaanse gebruikers. Dns-queries worden in de browser voortaan omgeleid en versleuteld via Cloudflare, zodat niet meer te achterhalen is welke websites een specifieke gebruiker opvraagt.

Mozilla zegt dat het later deze maand begint met de verdere uitrol van de configuratie. De browsermaker werkt al sinds 2017 aan dns-over-https, en begon vorig jaar een uitgebreidere test onder gebruikers. Die experimenten waren bedoeld om te kijken of gebruikers tegen problemen aanliepen, maar dat lijkt volgens Mozilla mee te vallen. Het bedrijf zegt dat slechts 4,3 procent van de gebruikers ouderlijk toezicht of safe search aanzet. Die processen gaan onder andere op basis van dns-verzoeken. Dns-over-https zou dat moeilijker maken. Ook zag Mozilla een paar problemen bij websites met niet-publieke toevoegingen in de domeinnaam.

De functie wordt nu standaard ingeschakeld, maar gebruikers kunnen via een opt-out kiezen er geen gebruik van te maken. Op dit moment is het tegenovergestelde mogelijk in Firefox. In zakelijke configuraties staat dns-over-https standaard uit zodat systeembeheerders niet in de problemen komen. Als er problemen ontstaan voor gebruikers kan Firefox daarnaast terugvallen op de standaard dns-instellingen van het besturingssysteem.

Firefox maakt voor de dienst gebruik van de 1.1.1.1-dns-resolver van Cloudflare. Daar werkte het bedrijf in tests ook al mee samen. Het bedrijf zegt echter dat dat mogelijk verandert als er andere geschikte domein-resolvers beschikbaar komen.

Bij dns-over-https wordt een dns-query versleuteld met tls-encryptie. Daardoor kunnen andere partijen zoals providers niet meer meekijken naar welke webpagina's specifieke gebruikers opvragen. Er is ook een alternatief, dns-over-tls, maar dat is minder populair. Daarvoor moet namelijk een specifieke tls-poort worden gebruikt die makkelijk af te sluiten is door bijvoorbeeld een provider. Dns-over-https loopt net als al het tls-verkeer over poort 443, dat daardoor niet zo makkelijk te blokkeren is.

Hoewel de beslissing op het eerste gezicht goed lijkt voor de privacy van gebruikers is niet iedereen even blij met de beslissing. In Engeland, waar strengere internetregels gelden, waren internetproviders lange tijd niet blij met het plan. Ook wijzen critici op het feit dat Cloudflare een Amerikaans bedrijf is en daarom onder de regels van dat land valt, en dat dns-over-https mogelijk trager zou zijn dan gewoon verkeer.

Door Tijs Hofmans

Redacteur privacy & security

10-09-2019 • 08:14

161 Linkedin Google+

Submitter: breezie

Reacties (161)

Wijzig sortering
Bij dns-over-https wordt een dns-query versleuteld met ssl-encryptie. Daardoor kunnen andere partijen zoals providers niet meer meekijken naar welke webpagina's specifieke gebruikers opvragen. Er is ook een alternatief, dns-over-tls, maar dat is minder populair. Daarvoor moet namelijk een specifieke tls-poort worden gebruikt die makkelijk af te sluiten is door bijvoorbeeld een provider. Dns-over-https loopt net als al het ssl-verkeer over poort 443, dat daardoor niet zo makkelijk te blokkeren is.
Ja. Leuk, die marketing. Echter, om bijvoorbeeld tegemoet te komen aan bedrijfsnetwerken waar men een split-dns configuratie draait wordt DoH niet gebruikt als het domeinnaam use-application-dns.net een NXDOMAIN teruggeeft. Iedere provider die dus de controle die 'ie nu heeft wil behouden hoeft dus alleen maar dat domeinnaam in z'n eigen nameservers te blokkeren en het blijft gewoon bij het oude.

Daarnaast gaat Firefox nu dus een Cloudflare dienst gebruiken. Die is weliswaar gratis, en zal vast ook een goede uptime hebben, maar het is wel een commercieel Amerikaans bedrijf. Het mooie aan het internet zoals we dat nu hebben is dat de infrastructuur gedecentraliseerd is en niet afhankelijk van specifieke commerciële partijen.

Ik snap dan ook niet waarom men niet veel meer inzet op DNSSEC en DNS over TLS. Dat heeft op z'n minst dezelfde voordelen als DoH, is niet afhankelijk van een enkele commerciële partij, en performt doogaans beter.

Wil je dit gedrag voor nu en in de toekomst uitzetten, dan kan je in about:config network.trr.mode op 5 zetten (trr = Trusted Recursive Resolver). Vermoedelijk zullen distro's als OpenBSD en Debian dit standaard al doen omdat zij het als bug beschouwen als een applicatie niet de standaardresolvers die in /etc/resolv.conf geconfigureerd staan gebruiken.

Edit: Ik kom net ook dit artikel tegen: Malware die DoH gebruikt om allerlei detectie te kunnen omzeilen.

[Reactie gewijzigd door Freeaqingme op 10 september 2019 12:46]

Dns-queries worden in de browser voortaan omgeleid en versleuteld via Cloudflare, zodat niet meer te achterhalen is welke websites een specifieke gebruiker opvraagt.
Niet helemaal correct. SNI (Server Name Indication) wordt gebruikt om meerdere TLS-enabled websites te hosten op dezelfde set IP-adressen. Dit vereist van de client (de browser) dat de hostname van de website waarmee verbonden wil worden meegestuurd moet worden. Deze wordt nog altijd onversleuteld meegestuurd. Zie dit artikel. Cloudflare heeft hierop wel ESNI (Encrypted Server Name Indication) geïntroduceerd, dit is ook al in te schakelen in FireFox als ik het goed heb.
Ik vind het een nieuw geval van schijnveiligheid. Dit is vergelijkbaar met het idee dat je veilig en anoniem kunt browsen met een VPN verbinding. Het is alleen maar makkelijker voor kwaadwillenden op deze manier. Al het verkeer gaat via NordVPN (bijvoorbeeld) en alle DNS queries gaan via CloudFare straks. Nou lekker veilig en anoniem hoor. Het gaat al die bedrijven maar om 1 ding: data mining. Of was je nog in de veronderstelling dat ze dit soort diensten uit altruïsme bieden? NordVPN is van Tesonet wat een datamining company is.... En de eigenaar is weer gelinkt aan ProtonVPN en ProtonMail etc. Laten we niet naïef gaan doen, als het gratis is dan gaat het ze om de data. Dus voor de veiligheid is dit niet interessant, dan moet je maar je eigen DNS server draaien (en voor VPN TOR als alternatief gebruiken).
Het is nog best moeilijk om een standaard resolver als BIND9 een NXDOMAIN-antwoord te laten genereren voor een domain dat anderszins wel bestaat. (NOERROR, SERVFAIL zijn simpel.)

Mozilla lijkt opt-out expres moeilijk te maken, ook voor technisch onderlegden.

Update: het volgende werkt:

named.conf:

options {
...
response-policy { zone "rpz.local"; };
};
zone "rpz.local" in {
type master;
file "/usr/local/etc/namedb/master/rpz.local";
allow-query { none; } break-dnssec yes;
};

rpz.local:
$TTL 1H

@ SOA localhost. root.localhost. (1 2H 30M 30D 1H)
NS localhost.

use-application-dns.net CNAME .

Met dank aan JP Mens, Stephane Bortzmeyer en de officiële documentatie.

[Reactie gewijzigd door LanTao op 10 september 2019 17:51]


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True