Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Firefox begint deze maand met uitrol van dns-over-https

Firefox begint met de uitrol van dns-over-https voor Amerikaanse gebruikers. Dns-queries worden in de browser voortaan omgeleid en versleuteld via Cloudflare, zodat niet meer te achterhalen is welke websites een specifieke gebruiker opvraagt.

Mozilla zegt dat het later deze maand begint met de verdere uitrol van de configuratie. De browsermaker werkt al sinds 2017 aan dns-over-https, en begon vorig jaar een uitgebreidere test onder gebruikers. Die experimenten waren bedoeld om te kijken of gebruikers tegen problemen aanliepen, maar dat lijkt volgens Mozilla mee te vallen. Het bedrijf zegt dat slechts 4,3 procent van de gebruikers ouderlijk toezicht of safe search aanzet. Die processen gaan onder andere op basis van dns-verzoeken. Dns-over-https zou dat moeilijker maken. Ook zag Mozilla een paar problemen bij websites met niet-publieke toevoegingen in de domeinnaam.

De functie wordt nu standaard ingeschakeld, maar gebruikers kunnen via een opt-out kiezen er geen gebruik van te maken. Op dit moment is het tegenovergestelde mogelijk in Firefox. In zakelijke configuraties staat dns-over-https standaard uit zodat systeembeheerders niet in de problemen komen. Als er problemen ontstaan voor gebruikers kan Firefox daarnaast terugvallen op de standaard dns-instellingen van het besturingssysteem.

Firefox maakt voor de dienst gebruik van de 1.1.1.1-dns-resolver van Cloudflare. Daar werkte het bedrijf in tests ook al mee samen. Het bedrijf zegt echter dat dat mogelijk verandert als er andere geschikte domein-resolvers beschikbaar komen.

Bij dns-over-https wordt een dns-query versleuteld met tls-encryptie. Daardoor kunnen andere partijen zoals providers niet meer meekijken naar welke webpagina's specifieke gebruikers opvragen. Er is ook een alternatief, dns-over-tls, maar dat is minder populair. Daarvoor moet namelijk een specifieke tls-poort worden gebruikt die makkelijk af te sluiten is door bijvoorbeeld een provider. Dns-over-https loopt net als al het tls-verkeer over poort 443, dat daardoor niet zo makkelijk te blokkeren is.

Hoewel de beslissing op het eerste gezicht goed lijkt voor de privacy van gebruikers is niet iedereen even blij met de beslissing. In Engeland, waar strengere internetregels gelden, waren internetproviders lange tijd niet blij met het plan. Ook wijzen critici op het feit dat Cloudflare een Amerikaans bedrijf is en daarom onder de regels van dat land valt, en dat dns-over-https mogelijk trager zou zijn dan gewoon verkeer.

Door Tijs Hofmans

Redacteur privacy & security

10-09-2019 • 08:14

161 Linkedin Google+

Submitter: breezie

Reacties (161)

Wijzig sortering
... en uiteindelijk als de public cloud onveilig blijkt krijg je weer "Local Network Clouds" of "Private Virtual Clouds" of een of ander buzzwoord voor een cloud-achtige dienst die vanuit je eigen datacenter gehost wordt.
Ja, private cloud is nu ook weer een dingetje. Maar Azure dringt zich wel flink op.
Ja die "WhatsApp Buurtpreventie"-bordjes zijn me ook een doorn in het oog. Dan nog liever een app als Nextdoor. Gelukkig hebben mijn buren Signal dus red ik het prima zonder WhatsApp.

Systemd-perikelen zullen inderdaad niet voor veel mensen een issue zijn. Maar het feit dat ze een default hebben voor iets kritieks DNS-servers vind ik zeer kwalijk. Als je geen DNS instelt, waarom gaat je systeem dan uit zichzelf maar wat invullen? Geen DNS is geen DNS. Dan krijg je dus een 'Host not found'-foutmelding. Niet opeens je gegevens bij Google.

"Googlen naar een oplossing" kunnen de "slachtoffers" ook wel via een telefoon doen. Als ze er tegenaan lopen zitten ze in ieder geval al dermate diep in een technisch Linux-moeras dat ze daar niet zouden moeten zitten als ze naar een oplossing moeten Googlen. Dus heb je hier alleen de technisch onderlegde gebruiker maar mee die bewust géén DNS-server heeft ingesteld en alsnog met DNS-resultaten geconfronteerd wordt.
ik snap niet waarom je dat in jou ? DNS server wil blokkeren. Wie gebruikt Jouw DNS server dan die die andere instellingen niet zou mogen gebruiken.of wat het nu firewall ?
Om te voorkomen dat dergelijke streken als Firefox hier nu uithaalt opeens als gevolg hebben dat mijn gegevens ongevraagd naar de VS gestuurd worden. Straks gaat een of andere app op mijn smartphone bedenken dat ze wel DoH kunnen gebruiken om te voorkomen dat ik advertenties via mijn DNS-server blokkeer.
Ja de VS overheid staat ook te trappelen om je gevens te mogen hebben. Als je echt zeker wilt weten dat dat niet gebeurd. hebt dan ook geen smartphone, of een computer, beter nog geen internet dat lijkt me toch betere oplossing dan een halfbakke oplossing. Maar goed, Zelf vind ik dit wel erg overdreven. uiteindijk komt elk verzoek van een DNS toch wel is bij een DNS server in de VS terecht, zeker als jou DNS niet weet waar het domein moet vinden, vraag aan de toplevel DNS, die stuurt het weer door aan de geautoriseerde DNS en die kan best in de VS staan ook moet juw dns na the halverings tijd van de ttl het weer opnieuw vragen. die stuurt het weer naar jouw DNS en ja jouw computer krijgt het weer van jouw DNS. dus nu weten ze wie die ene website opvroeg. dan moet je voorkomen dat alle domein namen die je bezoekt niet op VS servers staan, dat is ondoenelijk. Dus nee ik vind dit verspilde moeite.
bovendien is je eigen land meer in ons geintreseerd dan Amerika naar ons, bovendien mag in Amerika veel meer dan Europa.
Weet jij (of iemand anders) hoe Firefox er mee omgaat als een subdomein publiekelijk niet te resolven is maar wel via lokale DNS?
Voorbeeld: ik werk bij bedrijf.nl dat een bestaand publiek domein is met publiekelijk te resolven records. Onze servers staan echter in subdomein.bedrijf.nl en alle records in subdomein.bedrijf.nl zijn alleen intern te resolven. Cloudflare kan hier dus niet bij, ik wil dan ook niet dat DoH dit stuk maakt :)

[Reactie gewijzigd door zjeeraar84 op 11 september 2019 15:44]

Ik lees hier:
As a precaution, Firefox features a system that detects if a name can’t be resolved at all with TRR and can then fall back and try again with just the native resolver (the so called TRR-first mode). Ending up in this scenario is of course slower and leaks the name over clear-text UDP but this safety mechanism exists to avoid users risking ending up in a black hole where certain sites can’t be accessed. Names that causes such TRR failures are then put in an internal dynamic blacklist so that subsequent uses of that name automatically avoids using DNS-over-HTTPS for a while (see the blacklist-duration pref to control that period).
Ze doen dus wel hun best dat te detecteren. Als je hier helemaal 0 risico in wil lopen dan kan je natuurlijk je lokale resolver zo configgen dat ie use-application-dns.net niet teruggeeft, waarmee je effectief DoH uitzet.
Thanks. Is gelukkig wel over nagedacht dus :)
Het verkooppraatje van Cloudflare is dat zij als doel hebben om het internet beter te maken. Zij willen uiteraard ook winst maken. Die twee kunnen prima samen.
Hun core business is DDoS-bescherming. Daar hebben zij data voor nodig. Dit mechanisme vult daar natuurlijk goed op aan. Dus hun winst met dit product is inderdaad data. Dat zijn ze ook transparant over. Ze zeggen wat, hoe en hoelang ze die data opslaan en wat ze er mee doen.

DoH voegt daadwerkelijk iets toe aan de veiligheid op internet. Het gaat er nu naar toe dat vrijwel alle communicatie gecodeerd wordt. DNS liep hier op achter. Er was heel lang geen beveiliging op DNS. DNSSEC voegt toe dat DNS-verzoeken ondertekend zijn. DoH voegt toe dat ze gecodeerd zijn op ISP-niveau.

Er wordt nergens gesuggereerd dat je nu in eens helemaal veilig en anoniem bent, al voegt het er wel iets aan toe. De MiTM van het publieke accesspoint ziet nu minder makkelijk wat je aan het doen bent.

Als je je eigen DNS server draait been je juist minder anoniem. Althans. Op minder plaatsen. Met dit systeem weet alleen Cloudflare wat jouw ipadres opvraagt (en je weet wat ze met die data doen). Met je eigen name server, je ISP, iedere schakel tussen jou en de root nameservers en iedere schakel tussen jou en de nameserverbeheerder die je opgevraagde domein serveert.
Niet alleen dat maar ze lijken ook een stuck ethischer zaken te doen dan een hoop (amerikaanse) commerciele bedrijven, net als hun moeder bedrijf Open-Xchange overigens.

Met beide partijen om tafel gezeten (PD en OX) en ze lijken uitstekend te snappen wat op de lange termijn goed voor hun community, en het internet.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True