Mozilla voegt NextDNS toe aan Firefox als tweede dns-over-https-resolver

Mozilla heeft NextDNS als tweede dns-over-https-provider toegevoegd aan Firefox. Daarmee wil de browsermaker internetters meer keus geven voor het versleutelen van hun internetverkeer. Tot nu toe werd alleen Cloudflare standaard voorgesteld als provider.

Mozilla is een samenwerking aangegaan met NextDNS onder het eerder aangekondigde Trusted Recursive Resolver-programma. Dat is een programma waarmee Mozilla bepaalt of dns-providers voldoen aan bepaalde eisen op het gebied van veiligheid en privacy. NextDNS is naast Cloudflare de tweede provider die daardoor dns-over-https kan aanbieden in Firefox, schrijft Mozilla in een blogpost. NextDNS is een dns-resolver die ook een ingebouwde tracking- en adblocker heeft.

Mozilla biedt sinds eerder dit jaar de optie aan om dns-queries in de browser te versleutelen. Dat doet het bedrijf door ze om te leiden via een derde partij, specifiek Cloudflare. Sinds de zomer staat dit zogeheten dns-over-https-protocol standaard aan voor gebruikers. Tweakers schreef daar destijds een uitgebreid achtergrondverhaal over. Firefox is niet de enige browser die DoH aanbiedt. Google doet dat ook in Chromium, waardoor het automatisch ook in browsers als Edge of Brave zit. Bij Chrome is het echter mogelijk om te kiezen uit verschillende dns-resolvers. Bij Firefox was het wel mogelijk de dns-resolver handmatig te veranderen, maar gebruikers moesten dan wel zelf de gegevens daarvan opzoeken.

Met het toevoegen van NextDNS als alternatief voor Cloudflare reageert Mozilla op de kritiek van veel gebruikers. Die waren niet blij met het feit dat alle dns-verzoeken via het Amerikaanse Cloudflare liepen. Die centralisatie van dns-queries via een commercieel bedrijf kwam Mozilla op kritiek te staan, iets dat het bedrijf nu erkent. "Voor de meeste gebruikers is het moeilijk te zeggen waar hun dns-verzoeken heen gaan en wat de resolver daarmee doet", schrijft het bedrijf in een blogpost. "Met het Trusted Recursive Resolver-programma kan Mozilla eisen dat dns-providers goede privacyvoorwaarden hebben voor zij zich aansluiten."

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 17-12-2019 17:40 31

17-12-2019 • 17:40

31

Lees meer

Dns-over-https: vloek of zegen?

14 okt 2019

Dns-over-https: vloek of zegen?

Meningen verdeeld over encryptie dns-queries

234
Mozilla begint consultatie voor implementatie van dns-over-https in Firefox
Mozilla begint consultatie voor implementatie van dns-over-https in Firefox Nieuws van 19 november 2020
Google zet dns-over-https aan in Chrome voor Android
Google zet dns-over-https aan in Chrome voor Android Nieuws van 3 september 2020
Microsoft zet dns-over-https standaard aan in Canary-builds van Edge
Microsoft zet dns-over-https standaard aan in Canary-builds van Edge Nieuws van 21 augustus 2020
MacOS 11 en iOS 14 ondersteunen dns-over-https en dns-over-tls
MacOS 11 en iOS 14 ondersteunen dns-over-https en dns-over-tls Nieuws van 26 juni 2020
Microsoft implementeert dns-over-https in Insider Previews van Windows 10
Microsoft implementeert dns-over-https in Insider Previews van Windows 10 Nieuws van 14 mei 2020
Mozilla zet dns-over-https standaard aan voor Amerikaanse Firefox-gebruikers
Mozilla zet dns-over-https standaard aan voor Amerikaanse Firefox-gebruikers Nieuws van 25 februari 2020
Mozilla biedt Firefox-gebruikers verwijderoptie voor telemetrie in browser
Mozilla biedt Firefox-gebruikers verwijderoptie voor telemetrie in browser Nieuws van 3 januari 2020
Microsoft Edge-browser krijgt optie om url te delen via qr-code
Microsoft Edge-browser krijgt optie om url te delen via qr-code Nieuws van 19 december 2019
Microsoft gaat dns-over-https toevoegen aan Windows
Microsoft gaat dns-over-https toevoegen aan Windows Nieuws van 18 november 2019
Overheid VS onderzoekt dns-over-https bij Google vanwege concurrentiezorgen
Overheid VS onderzoekt dns-over-https bij Google vanwege concurrentiezorgen Nieuws van 30 september 2019
Google test dns-over-https bij Chrome met zes dns-providers
Google test dns-over-https bij Chrome met zes dns-providers Nieuws van 11 september 2019
Firefox begint deze maand met uitrol van dns-over-https
Firefox begint deze maand met uitrol van dns-over-https Nieuws van 10 september 2019
Meer producten en artikelen
Beveiliging en antivirus Mozilla Firefox Cloudflare Dns

Reacties (31)

-Moderatie-faq
31
31
27
3
0
3
Wijzig sortering
obimk1 17 december 2019 18:50
Respect voor Mozilla, heeft meer focus op functionaliteit en veiligheid van hun software.

Bij Google weet je niet altijd waar je aan toe bent.
Z80 @obimk117 december 2019 21:45
Lees je eens goed in wat DoH exact betekend voor jou als eindgebruiker. En wil je dan nog al je dns aanvragen naar Amerika sturen? Ik niet.
kodak
@obimk117 december 2019 22:17
Hoe is het delen van dns-verkeer met commerciele partijen waar bijna niets over bekend is wat ze werkelijk met je gegevens doen veilig?
bartje 17 december 2019 18:44
Beetje raar maar als je handmatig een provider kan kiezen waarom is er dan kritiek. Je kunt immers zelf bepalen. Mozilla voegt nu alleen een soort van approved by Mozilla toe. Door deze standaard aan te bieden.
kodak
@bartje17 december 2019 22:50
Wat is er echt een keuze als Mozilla de service standaard aan zet en Mozilla daarmee voor miljoenen gebruikers hun zeer persoonlijke dns-gegevens laat sturen naar een zeer beperkt groepje weinig transparante bedrijven?

Het DNS-verkeer zijn gegevens die diverse zaken vertellen over het gedrag van de gebruiker. Die gegevens belanden nu standaard bij dat selecte groepje Amerikaanse bedrijven. De kritiek is kennelijk dat Mozilla er voor kiest om in de eerste plaats zelf te bepalen dat de gebruikers naar dat groepje bedrijven gaat en de gebruiker ook nog eens moeite moet doen om dat te weten en te voorkomen.
AuteurTijsZonderH Nieuwscoördinator @bartje17 december 2019 18:58
Omdat waarschijnlijk 90% van de gebruikers dat niet doet. Die accepteert Cloudflare gewoon. Als ze een keus hebben denk je er sneller over na als gebruiker.
bloq @TijsZonderH17 december 2019 19:37
Ik moet wel zeggen dat je als Tweaker wel kan begrijpen wat DoH is en waarom je het wel of niet zou aanpassen. De doorsnee gebruiker weet niet wat dns is, en denkt nog net wel of net niet dat Google het internet is. Maar een Europese default provider voor gebruikers in Europa had Mozilla gesierd...
AuteurTijsZonderH Nieuwscoördinator @bloq17 december 2019 20:49
Zijn er veel Europese DNS-providers die aan de eisen van Mozilla kunnen voldoen én op zo'n user base kunnen scalen? Ben bang van niet eigenlijk.
MoonWatcher @TijsZonderH18 december 2019 11:42
Dit zou dan echter meer een argument tegen DoH zijn dan een argument voor wat ze nu implementeren.

Het zorgt er ook voor de systeembeheerders in eens een extra uitdaging er bij krijgen doordat DNS servers met lokale records nu ineens gebypassed worden.

Wellicht dat DoH announcements over DHCP daar wel weer een oplossing voor kunnen bieden.
https://tools.ietf.org/html/draft-peterson-doh-dhcp-00

Op deze manier zou je vervolgens lokaal weer je eigen DoH server kunnen gaan hosten.
https://kb.isc.org/docs/aa-01386

Eenvoudiger wordt het er allemaal echter niet van.

Desondanks denk ik dat het een noodzakelijke stap is voor het verder beveiligen van het internet dat browsers ondersteuning voor deze techniek gaan implementeren.
AuteurTijsZonderH Nieuwscoördinator @MoonWatcher18 december 2019 11:45
Ik denk dat je DoH in een heel makkelijke tl;dr kunt samenvatten: goed idee, goede uitvoering is onmogelijk. Inderdaad door precies de dingen die je hier noemt.
bl0m5t3r @TijsZonderH17 december 2019 23:38
Misschien geldt het voor nieuwe installs, iets wat ik zeker niet goedkeur, maar voor mij als verstokte firefox gebruiker staat het standaard gewoon uit. of laat ik het beter zeggen, er is niks veranderd in mijn settings. Ik zie de optie "dns over https" in mijn settings, maar die staat niet aan en ik heb hem ook niet uitgezet.

Voor de gemiddelde gebruiker veranderd er dus niks in mijn optiek, het niet dat de setting ineens aanstaat. Voor nieuwe gebruikers zou het mooi zijn als het in ergens in de install/config wizard voorbij zou komen, daar weet ik verder weinig van hoe ze dat hebben opgelost.

*edit*
Ik heb net net heel even wat verdiept in de materie omdat ik toch nieuwsgierig was hoe net nu zat. Zover ik kan vinden (waar tweakers in het verleden ook over bericht heeft) geldt het alleen voor de US dat ze het aanbieden, in de EU gebeurt er sowieso niks. In de US gebeurt nog het niet zomaar op de achtergrond en krijg je een keuze scherm met een opt-in/opt-out optie die uit uit je adresbalk komt, gelijkwaardig aan als je een add-on wil installeren. Je krijgt in mijn optiek dus duidelijk een keus voorgeschoteld. Vindt ik persoonlijk netjes opgelost.

[Reactie gewijzigd door bl0m5t3r op 23 juli 2024 17:04]

AuteurTijsZonderH Nieuwscoördinator @bl0m5t3r18 december 2019 08:56
Zowel Mozilla als Google rollen die optie geleidelijk uit, het is nu nog vaak opt-in maar in de toekomst verandert dat naar opt-out.
Sebazzz 17 december 2019 18:00
Voor niets gaat de zon op. Hoe verdienen deze DoH providers hun geld via de DoH diensten?
elmuerte @Sebazzz17 december 2019 18:04
Aggregate DNS request statistieken verkopen die niet te herleiden zijn naar gebruikers. Denk bijvoorbeeld aan een alexa-score achtige constructie.
michielRB @elmuerte17 december 2019 19:51
Of profiled request statistieken. Dat levert meer op. -O-
Tetraquark @elmuerte17 december 2019 19:54
en ze kunnen 10x meer verdienen als je het een beetje minder anonimiseren, dus ra-ra wat gaat er gebeuren ?
Grimm @Sebazzz17 december 2019 18:02
https://nextdns.io/pricing
YangWenli @Sebazzz18 december 2019 11:51
Aluhoedje: centralisatie van het internet verkeer is voor Amerikaanse inlichtingendiensten een interessant concept. Het zijn trouwens niet alleen Chinese tech bedrijven die geleid worden door oud defensie medewerkers...
WoutervOorschot 17 december 2019 19:21
Waarom zou je op je browser een andere dns-resolver willen dan op je OS?
Firefox @WoutervOorschot17 december 2019 19:51
De gedachte: jouw DNS provider en alle tussenliggende routing hops kunnen precies zien wat jouw DNS request is. Het verkeer is namelijk plaintext.

Voor www.microsoft.com, gathering.tweakers.net en nu.nl is dat niet zo belangrijk, maar sites als ikhebkanker.nl geven wel iets persoonlijks weg en wellicht wil je ook niet dat anderen weten dat je graag naar pornhub.com zit te kijken.

Het kromme van dit principe is dat je provider er waarschijnlijk niet naar kijkt, want die verdient zijn geld aan het internet abonnement. Cloudflare en aanverwante partijen grossieren juist in big data. Wat is er dan handiger dan van die mensen die in incognito mode sommige sites bezoeken te achterhalen welke sites dat zijn. Mooie aanvulling op de dataset die ze toch al over je verzamelen.

Het feit dat Mozilla een alternatieve commerciële partij nu ook beschikbaar maakt, geeft je nu hooguit een extra keuze wie die data van je verzamelt.

Als privacy hetgeen is waar je over in zit, dan is DoH niet de oplossing. Eerder juist niet, wat mij betreft.

"Wanneer een product of dienst gratis is, ben jij het product."
Wouterie @Firefox17 december 2019 21:01
Maar als ik op mijn os of router een anderr DNS provider instel, bijvoorbeeld opendns, om wat voor rede dan ook, dan is het wel vreemd als een applicatie zelf dit negeert.
ppl
@Firefox17 december 2019 21:01
De gedachte: jouw DNS provider en alle tussenliggende routing hops kunnen precies zien wat jouw DNS request is. Het verkeer is namelijk plaintext.
Lees de vraag voor je uit reflex erop gaat antwoorden. De vraag is NIET wat je aan DoH hebt. De vraag die hier gesteld wordt is een veel en veel belangrijkere vraag: waarom moet je browser afwijken van de algemene settings van bijv. je OS?

Of anders gevraagd: waarom zou DoH alleen maar van toepassing zijn op websites? Waarom ook niet op al die andere apps op je computer die ook contact zoeken met allerlei andere pagina's?

Het voordeel van je OS is nou juist dat daarin de settings staan die voor alle andere applicaties ook gelden. Dan kun je ineens DoH gebruiken met welke browser dan ook en met welke applicatie dan ook.

Ik heb het idee dat dit vooral een zet is om zaken als DoH te bevorderen waarbij Mozilla zelf een buitenkansje ziet om wat meer inkomsten te genereren. Liever dat ze hier gewoon eerlijk en transparant over zijn. Het verhaal wat ze nu gebruiken, is er eentje waar een beetje techneut gaten in weet te schieten.
WoutervOorschot @Firefox18 december 2019 07:42
Ik snap hoe DoH werkt, en NextDNS kost geld volgens mij dus ben je misschien niet het product.

Wat ik bedoel, stel je hebt windows mooi ingesteld en dichtgetimmerd met een pihole of gewoon lokale instellingen, installeer je FF en pakt ie een eigen DNS resolver. Chrome deed dat ook al met 8.8.8.8, maar google kan je het nog van verwachten.
Wouterie @WoutervOorschot17 december 2019 19:39
Of dan op je router. Ik hou niet zo van dit soort wijzigingen, ik hou het beheer liever centraal.
martijnve 17 december 2019 17:52
Dus Mozilla reageert op kritiek van gebruikers dat alles naar een commerciële Amerikaanse partij gaat door een tweede commerciële Amerikaanse partij toe te voegen?

Is Mozilla niet groot genoeg om een eigen dns resolver op te tuigen? Eventueel met wat sponsoring door een commerciële partij. Dat zou hun hele privacy-standpunt een stuk geloofwaardiger maken imho.
Verwijderd @martijnve17 december 2019 19:03
Die verantwoordelijkheid willen ze denk ik niet.
RL600 17 december 2019 18:08
DoH op zichzelf is niet de toekomst. Enigste waar je zeker van bent is dat de link van jou tot de resolver vertrouwd is.

DNSSec heeft een “chain of trust”. Helaas biedt deze extensie geen privacy functionaliteit.
mutley69 17 december 2019 20:04
Waarom toch niet standaard die dns over dns-specifieke poorten laten gaan met encryptie - en dan nog eens de ipv6-paketten zelf encrypteren (natuurlijk dan had men in België alle providers moeten verplichten IPv6 aan te bieden). Dankzij een parlementaire vraag - op mijn verzoek trouwens - heeft A. De Croo kleur bekend - en die embeciel vondt het niet nodig dat alle providers IPv6 in het aanbod hadden. Hij wou evenmin laten onderzoeken waarom IPv6 aanbieden nog altijd zo prijzig was (ik ken het antwoord) - maar die man is compleet corrupt en incompetent. Ik durf dat recht in zijn gezicht zeggen!
Wim-Bart 17 december 2019 20:33
Heeft iemand de adressen van NextDNS servers zodat ik deze net zoals cloudflare in mijn blacklist kan zetten op de firewall. Ik wil namelijk geen DoH.

Hoe kunnen we die waanzin van DoH stoppen?

[Reactie gewijzigd door Wim-Bart op 23 juli 2024 17:04]

Verwijderd 17 december 2019 21:43
Ondertussen op Internet.

Imagine a future where the HTTPS website being connected to also offers DNS resolution services via HTTPS. Since DoH is an HTTP protocol that's inherently compatible with everything else flowing through that channel to the browser. In this future, the website knows all of the large number of domains being referenced by the page the browser has requested. And DNS is inherently a caching protocol and system. So the DNS resolving web server can have previously looked up and cached the most recent IP service addresses of all of the domains it will be asking the browser to go fetch from, and using HTTP/2's built-in send-ahead PUSH technology, that webserver could pre-populate the client's local DNS cache with fresh and valid DNS lookup addresses, thus short circuiting the entire time consuming separate DNS lookup loop.

For this to be safe, we would probably want the website's DNS replies to be DNSSEC so that they could be trusted without concern by their recipient, but that's on the way too. When you think about it, this change of model is also so much more efficient. In the original distributed DNS model, every client of an active website needed to perform its own DNS lookups, which are inherently (though admittedly not absolutely) redundant. In this newer model, the website which will be asking its clients to obtain resources from other sites can supply not only the domain names of those resources, but the current IP addresses from which those assets may be retrieved.

This is the potential for DoH and it's the reason why DNS-over-TLS, while it appears to be the
lower common denominator, lacks the same powerful potential as DNS-over-HTTP.
StGermain 18 december 2019 16:11
Creëren ze hiermee geen enorm single point(s) of failure? Als heel het internet DNS requests moet doen op maar enkele plaatsen ipv gecached bij de provider.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq