Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google test dns-over-https bij Chrome met zes dns-providers

Google experimenteert met dns-over-https bij Chrome 78 op desktop en mobiel met in eerste instantie zes dns-providers, waaronder Google zelf. Als de dns-aanbieder van de gebruiker op de lijst staat, schakelt de browser automatisch over naar dns-over-https.

De dns-providers waarmee Google samenwerkt, zijn Cleanbrowsing, Cloudflare, DNS.SB, OpenDNS en Quad9. Deze zijn volgens het bedrijf gekozen vanwege hun ferme standpunt op het gebied van privacy en beveiliging, en hun compatibiliteit op het gebied van dns-over-https, of doh. Niet bekend is of Google de lijst wil uitbreiden. Het Nederlandse PowerDNS staat bijvoorbeeld niet op de lijst.

Bij de implementatie van Google kijkt de browser of de dns-aanbieder van de gebruiker op de lijst staat om van een doh-dienst gebruik te kunnen maken. Is dat niet het geval, dan verloopt de verbinding als vanouds. Omdat Chrome de standaard ingestelde dns-provider verkiest en alleen dns-over-https activeert als die provider dit aanbiedt, ervaren gebruikers geen problemen met door de aanbieder aangeboden functies voor parenting control en malwarebescherming, aldus Google.

Daarmee wijkt de implementatie af van die van Mozilla. Die organisatie kiest vooralsnog voor de 1.1.1.1-dns-resolver van Cloudflare en schakelt deze vanaf eind september standaard in voor Amerikaanse gebruikers.

Google test de doh-implementatie bij een fractie van de Chrome 78-gebruikers op alle ondersteunde platforms op Linux en iOS na. Op Android 9 en latere versies van het besturingssysteem kan Chrome gebruikmaken van een doh-aanbieder die door de gebruiker bij de dns-instellingen is ingesteld. ZDNet publiceerde eerder deze week de stappen die een gebruiker moet doorlopen om de desktopversie van Chrome buiten de test om van dns-over-https gebruik te laten maken.

Google en Mozilla testen het gebruik van doh uit privacy- en beveiligingsoverwegingen. De techniek versleutelt een dns-query met tls-encryptie, waardoor partijen zoals providers niet meer kunnen zien welke webpagina's specifieke gebruikers opvragen. Google wijst erop dat de techniek bijvoorbeeld voorkomt dat derde partijen bij het gebruik van publieke hotspots kunnen zien welke websites door gebruikers worden bezocht.

Door Olaf van Miltenburg

Nieuwscoördinator

11-09-2019 • 12:06

129 Linkedin Google+

Reacties (129)

Wijzig sortering
Kleven hier geen grote privacy bezwaren aan?

Ik heb denk ik liever dat KPN weet welke sites ik bezoek, dan dat Google of een ander Amerikaans bedrijf dit weet.
Zoals er in het artikel staat schakelt Chrome alleen over op DoH als de DNS provider die je al gebruikt dit ondersteund en op de whitelist van Chrome staat.
Dit heeft dus geen impact op je privacy, als je KPN DNS servers gebruikt blijf je die gewoon gebruiken.
Als je Quad9 of een andere provider op de whitelist van Chrome gebruikt, zal er DoH gebruikt worden.

De manier waarop Firefox dit gaat doen (standaard DoH inschakelen en CloudFlare als DoH provider gebruiken) is echter wel een privacy issue (wat mij betreft dan).
Ik wil niet vervelend doen maar tenzij dit veranderd in toekomstige versies van Firefox, momenteel kan ik standaard de CloudFlare kiezen of zelf een intypen(custom). Als ik dit verkeerd begrijp hoor ik het graag hoor.
"Daarmee wijkt de implementatie af van die van Mozilla. Die organisatie kiest vooralsnog voor de 1.1.1.1-dns-resolver van Cloudflare en schakelt deze vanaf eind september standaard in voor Amerikaanse gebruikers."

Bron: Dit artikel 8)7

[Reactie gewijzigd door Archcry op 11 september 2019 12:51]

Om toch maar even te reageren; uit de blog post waar vaak naar wordt verwezen "our plans for enabling DoH for some users in the USA. & Our plan is to start slowly enabling DoH for a small percentage of users while monitoring for any issues before enabling for a larger audience." Zo ver ik weet is Nederland geen onderdeel van de USA. Hier in Nederland / Europa is de wetgeving veel anders dus deze implementatie zo als hij hier wordt benoemd is niet van toepassing. Daarnaast blijft het gewoon mogelijk zonder dns-over-https te blijven werken.
Als je Chrome gebruikt dan weet Google dat allang.
Bij de implementatie van Google kijkt de browser of de dns-aanbieder van de gebruiker op de lijst staat om van een doh-dienst gebruik te kunnen maken. Is dat niet het geval, dan verloopt de verbinding als vanouds.
Zoals hier staat: Chrome kijkt of de DNS die je gebruikt geschikt is voor DNS-over-HTTPS. Als dat zo is, dan wisselen ze van van protocol. Ze wisselen dus (in tegenstelling tot Mozilla) NIET van DNS provider.
Helemaal mee eens.

In america is het helaas zo dat de providers niet te vertrouwen zijn, en juist je dns requests gebruiken voor reclame doeleinde.

Dus, daar snap ik waarom mensen hier behoefte aan hebben, alleen zoals vrijwel altijd zijn de americanen en hun bedrijven nogal kortzichtig en enkel gebouwt op hun eigen markt. En ja, ik vertrouw _random nederlandse provider_ meer als welk americaans gebaseerd bedrijf dan ook.
Kleven hier geen grote privacy bezwaren aan?
Als privacy een punt op de agenda was dan gebruikt men geen Chrome. ;)

Verder lijkt juist Google wat voorzichtiger te zijn met DNS over HTTP gebruik t.o.v. Firefox, die binnenkort DNS over HTTP standaard gaat gebruiken.

[Reactie gewijzigd door The Zep Man op 11 september 2019 14:45]

Niet met de implementatie van Google. Zij respecteren de keuze die je zelf gemaakt hebt en gaan enkel over op DoH als je ingestelde DNS provider op hun lijst staat.
Dat is inderdaad een van de redenen dat Paul Vixie (1 van de founders van DNS) zo tegen het gebruik van DoH is. Al je DNS queries bij 1 grote partij wil je gewoon niet.

Een betere oplossing zou zijn, als bestaande DNS servers DoT (DNS over TLS) zouden ondersteunen, en gewoon een eigen resolver gebruiken. Zo komt je DNS data nooit allemaal bij 1 partij terecht, en ben je toch beschermd tegen snooping door je provider.
nee, nee, nee. Ik schreef de vorige keer al; dat dit gedoe 'gefilterd' internet oplevert. Elke browser zou dezelfde pagina moeten laten zien. Dat is dus niet meer zo.
Wat heeft een DNS request met de getoonde pagina te maken?
Je gaat nog steeds naar dezelfde server en vraagt nog steeds dezelfde pagina op.
DNS vertaalt alleen jouw URL naar een IP adres.
Die zou (en is) niet anders of je nu naar je provider z'n DNS server gaat of naar die van Google.
Hoewel het een sterk voorbeeld is, zitten er nu genoeg mensen op het werk waardoor het fijner was geweest om een ander ip te gebruiken als voorbeeld...
Ik kan geen statistieken aanhalen, maar zover mij bekend is de gebruikerstevredenheid van die site bijzonder hoog dus ik denk dat een andere site al snel minder fijn zou zijn. Volgende keer 85.159.98.33 doen?
NSFW! Het genoemde IP verwijst naar pornhub. Test/open op eigen risico.

Waarom hebben we op tweakers nog geen 'report' optie?

[Reactie gewijzigd door GateKeaper op 11 september 2019 14:19]

Nou zijn punt is goed en duidelijk maar ik heb nu inderdaad wel een visit aan Pornhub in m'n werklaptop staan...
Ja, zijn punt is goed en duidelijk. Maar hij had ook een ip van google, youtube, wikipedia, of nu.nl kunnen pakken. Dat had het net zo duidelijk gecommuniceerd.
Sorry, maar ik zou op Tweakers toch wel verwachten dat je eerst een background check doet voordat je verbinding maakt met willekeurige IP-adressen.. Ik vind hem wel sterk :)
Jij en ik misschien wel. Maar wij zijn al lang niet meer de doelgroep van T.net
Volgens mij verandert er niks aan de huidige situatie hoor. Zoals in het artikel beschreven wordt er gebruik gemaakt van de DNS server die jij ingesteld hebt als gebruiker. Kies je er echter voor om een van de ondersteunde DNS servers te gebruiken dan wordt er gebruik gemaakt van DOH. Met andere woorden, voorheen had je de keuze, nu heb je nog steeds de keuze.
Interessante ontwikkeling, welke DNS forward settings zou je nu in je organisatie willen aanbevelen om zo veilig mogelijk het internet op te gaan?
PiHole, Sophos UTM of XG als gateway, OpenDNS FamilyShield 8)7

Mogelijkheden genoeg. :)
Zelf een DNS server draaien?
Een eigen DNS server krijgt zijn informatie van andere DNS servers.
Niet helemaal.
Je kunt inderdaad alles vragen aan je provider, maar je kunt natuurlijk kaal beginnen en alleen een (hardcoded) lijstje met servers voor de TLDs gebruiken.

Vanaf daar vraag je voor iedere TLD aan die root servers op welke DNS server het TLD kan resolven. Vanaf die DNS server krijg je dan weer terug wat je provider je anders verteld had.

Mocht je je afvragen hoe je aan die initiele lijst met rootservers komt, die zit meegeleverd wanneer je bijvoorbeeld bind9 installeerd

De root zone, mocht iemand zich afvragen hoe dat er uit ziet: https://www.internic.net/domain/root.zone
(En als je die link aanklikt doe je zelf ook een beetje dns-over-https :P , zo ingewikkeld is het dus niet)

[Reactie gewijzigd door -iemand- op 11 september 2019 17:50]

Je internetprovider heeft altijd een DNS server die je kan gebruiken I.p.v. dit. Ik zet het gelijk uit als het standaard aan staat.
De vraag gaat over een "organisatie". Wij draaien onze eigen DNS server, vandaar dat ik dat aangaf.

@Rob Dat klopt en wij kiezen dan op onze eigen server welke websites allemaal op 127.0.0.1 gevonden kunnen worden. :)
Klinkt als een PiHole constructie
Ja, alleen dan voor 16.000 werknemers, verspreid over de hele wereld. :)

edit: typo

[Reactie gewijzigd door dehardstyler op 11 september 2019 13:55]

De ontwikkeling is interessant alleen dat men zoals firefox maar 1 dns provider heeft ook google nu 6. Dit zou je gewoon zelf moeten instellen, dus ook dns provider die reclame er al uit filteren, iets dat google natuurlijk liefst niet wil. Als ik het vanuit die achtergrond bekijk zullen er dus niet snel dns providers op de lijst komen die reclame er standaard uit halen.
Je kan op de machine waar je pihole draait bijvoorbeeld cloudflared als een service draaien waarna je pihole instelt om daar zijn dns request te doen wat dan vervolgens via https naar bijvoorbeeld 1.1.1.1 gaat.

https://docs.pi-hole.net/guides/dns-over-https/

Aangezien pihole geen doh aanbied, zal de verbinding tussen jou en de pihole gewoon via het dns protocol blijven gaan.

[Reactie gewijzigd door Fonta op 11 september 2019 21:20]

Voor mij hoeft dit allemaal niet, het wordt wel heel verwarrend zo, je browser die dan wellicht een andere DNS server gebruikt dan je ingesteld hebt staan. Net als Windows die gewoon de hosts file negeert voor Microsoft adressen.

Ok geldt nu nog niet voor Chrome maar dat is natuurlijk de volgende stap.

Nog even en je kunt zelf geen DNS provider meer kiezen.
Voor mij hoeft dit allemaal niet, het wordt wel heel verwarrend zo, je browser die dan wellicht een andere DNS server gebruikt dan je ingesteld hebt staan.
Heb je het artikel wel gelezen?
Bij de implementatie van Google kijkt de browser of de dns-aanbieder van de gebruiker op de lijst staat om van een doh-dienst gebruik te kunnen maken. Is dat niet het geval, dan verloopt de verbinding als vanouds.
Mijn idee. Dit is Google's manier om DNS Blockers buiten spel te zetten zodat ze je weer advertenties aan kunnen bieden en tracking efficiënter kan werken. Je encapsulate gewoon DNS verkeer in https zodat je er minder invloed op uit kunt oefenen.
Bij de implementatie van Google kijkt de browser of de dns-aanbieder van de gebruiker op de lijst staat om van een doh-dienst gebruik te kunnen maken. Is dat niet het geval, dan verloopt de verbinding als vanouds.
Ik vind Google's implementatie van DoH dan netter gedaan dan die van Mozilla. Hanteer de DNS van de gebruiker en schakel over naar DoH indien mogelijk.

Had het wel nog een stukje beter gevonden als de browser gewoon controleert of een DNS provider DoH ondersteunt in plaats van met een whitelist te werken.
Gaat waarschijnlijk in de toekomst ook gebeuren. Maar voor nu is het even marketingtechnisch handig om je partners te benoemen. Daarnaast is het voor debuggen handig om te weten wie er mee doen aan de test. Zodat je snel kunt schakelen tussen de devteams.
Denk dat de voornaamste reden waarom bijvoorbeeld PowerDNS niet op de lijst staat is omdat ze geen normale DNS servers aanbieden, enkel DoH.

En juist omdat Chrome controleert welke DNS servers er bij de gebruiker staan ingesteld, en, PowerDNS dus niet als DNS server kan worden ingesteld kan er hiervoor niet op DoH worden overgeschakeld. (Wat ook weer niet nodig is want als je PowerDNS gebruikt gebruik je al DoH op een andere manier)

Verder wel een mooiere implementatie dan dat Mozilla dat heeft gedaan, standaard voor 1 provider kiezen terwijl gebruikers mogelijk hun keuze al hebben gemaakt is een beetje jammer.

[Reactie gewijzigd door mozoa op 11 september 2019 12:20]

De toegevoegde waarde ontgaat me een beetje. Snap sowieso niet waarom je DNS in HTTPS zou willen tunnelen, kunt net zo goed SSL over DNS gooien (op UDP wellicht wel wat lastiger).

Roept wel direct wat vragen op:
1) Hoe gaat ie die HTTPS host vinden die de DNS tunneling regelt? Hardcodec op basis van IP? Anders moet ie eerst een reguliere DNS query doen lijkt me.
2) Geen idee hoe dit afvangt dat ze niet meer kunnen zien welke website bezocht worden Wellicht voor SNI, maar gezien met SNI tegenwoordig eerst de domeinnaam overlegt wordt voor encryptie gestart wordt zodat het juiste certificaat overhandigt kan worden in het geval van vhosts is het nog steeds zichtbaar m.i., of is dat inmiddels ook dicht getimmerd?
hier even weer een voorbeeld hoe google GDPR omzeilt. Dus ik moet altijd hardop lachen als hier op tweakers weer zonder enige kritische noot Googles propaganda wordt geplaatst
https://brave.com/google-gdpr-workaround/
Blokada simuleert een VPN (weliswaar naar de eigen telefoon).

Bij firefox gaat Blokada sowieso niet werken omdat Firefox de gebruikelijke DNS volledig buitenspel zet. Blokada ziet dan alleen een https request naar CloudFlare en kan daar dus helemaal niets mee. Je zult dan DoH in firefox uit moeten zetten.

Voor Chrome durf ik het niet te zeggen.
NextDNS instellen op je telefoon


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True