Mozilla zet dns-over-https standaard aan voor Amerikaanse Firefox-gebruikers

Firefox is begonnen met de uitrol van dns-over-https voor Amerikaanse gebruikers. De browserontwikkelaar wil de feature in de toekomst standaard aanzetten voor alle gebruikers. Voorlopig zijn Cloudflare en NextDNS de beschikbare providers.

Mozilla gaat de functie in de komende weken uitrollen, schrijft het bedrijf in een blogpost. Daarbij wordt vooral goed gekeken naar eventuele verbindingsproblemen. Zakelijke gebruikers met een eigen dns-resolver hebben daar bijvoorbeeld mogelijk last van. In de toekomst wil Mozilla dns-over-https, of DoH, standaard aanzetten voor alle gebruikers. Cloudflare is de provider die daarvoor automatisch aanstaat. Gebruikers kunnen in de instellingen ook kiezen om dns-resolver van NextDNS in te stellen. Beide bedrijven zijn 'trusted resolvers'. Dat betekent dat ze voldoen aan bepaalde eisen die Mozilla stelt op gebieden als veiligheid en snelheid. NextDNS werd eind vorig jaar toegevoegd aan het Trusted Recursive Resolver-programma. Ook internationale gebruikers kunnen de twee providers kiezen als DoH-resolver, of ze kunnen een eigen dns instellen.

Bij dns-over-https worden dns-queries in de browser versleuteld. Dat gebeurt door ze via een resolver te laten gaan, in dit geval het eerdergenoemde Cloudflare en NextDNS. Op die manier kunnen providers of andere partijen niet zien welke websites een gebruiker bezoekt. De functie is controversieel; in het Verenigd Koninkrijk willen politici dat Mozilla de plannen stopzet. Providers hebben daar immers de plicht bepaalde informatie tegen te houden, wat vaak op dns-niveau gebeurt. Ook blokkades van bijvoorbeeld The Pirate Bay worden via dns uitgevoerd. Bovendien wordt het surfgedrag van gebruikers met het protocol via een commerciële Amerikaanse partij verstuurd. Tweakers schreef vorig jaar een uitgebreid achtergrondartikel over de voor- en nadelen van dns-over-https.

IT-banen

Reacties (126)

bartje 25 februari 2020 16:38

ja, en nee,
nu ziet de provider niks meer,
maar cloudflare en nextDNS wel.
Deze installeingen voor secure DNS zijn goed, maar toch zou ik dit op een hoger level(OS) geregeld willen zien.
Dan is de keuze aan mij wat er mee te doen en niet mozilla.

ewoutw @bartje • 25 februari 2020 16:43

Je provider ziet het DNS verzoek niet meer. Maar wel nog het verkeer naar de server die jij net geresolved hebt.
In de catogorie. Weet wel het antwoord, maar niet de vraag....

bartje @ewoutw • 25 februari 2020 16:47

Niet helemaal,
de provider ziet het ip alleen maar niet de site bij HTTPS
de complete url is geëncrypted inhoud.
er kunnen meerdere sites op 1 ip draaien,
dus de provider zien het IP en de hoeveelheid MB's

Marlinc @bartje • 25 februari 2020 16:53

Je provider kan wel de hostname bij een HTTPS verbinding zien, deze wordt namelijk doormiddel van SNI (Server Name Indication) plaintext doorgestuurd zodat de server weet met welk TLS certificaat die moet reageren.

casberrypi @Marlinc • 25 februari 2020 20:13

Encrypted SNI (ESNI) komt er aan. Naar het schijnt werkt het al in Firefox en de servers van Cloudflare. Binnenkort in BoringSSL, OpenSSL en dan gaan Nginx en Chrome het ook kunnen.

Dit zou wel eens een kwestie van een paar maanden kunnen zijn.

[Reactie gewijzigd door casberrypi op 23 juli 2024 19:44]

the_stickie @casberrypi • 25 februari 2020 23:18

Das allemaal mooi, maar als je ziet hoe lang SNI zelf, een techniek waarvan gebruikers én site beheerders profiteren, zowat 'bestaat maar niet gebruikt' was

Ik wil allen maar aangeven dat "komt eraan" in de huidige contect evengoed kan zeggen dat binnen 5 jaar 2% van de sites het werkelijk ondersteund (àls je een recente browser gebruik)

Misschien verloopt de adoptie van eSNI vlotter dan van SNI, omdat de client op zijn minst een fallback heeft (plain SNI). Vooralsnog is het een experimental draft, niet meer dan dat. Als de adoptie inderdaad uitbreidt zal die status uiteraard wel veranderen - maar dat staat (nog) niet vast.

ewoutw @bartje • 25 februari 2020 16:51

Klopt. Er valt wel iets aan info weg. Maar grootte partijen zitten niet op shared hosting.....
In Amerika verkopen de providers je gegevens (dat is ook de reden dat het daar nu aan gaat natuurlijk). Die kleine website's op shared-hosting zo echt niet zo boeiend voor hen. Maar je verbergt zeker wel iets.... Maar niet veel....

Ik vertrouw mijn provider (XS4ALL) meer dan google of cloudfare (of welke andere gratis dient dan ook)

erikmeuk3 @ewoutw • 26 februari 2020 12:25

Ik vertrouw mijn provider (XS4ALL) meer dan google of cloudfare (of welke andere gratis dient dan ook)

Het vervelende is, dat het inschakelbare poortfilter van poort 53 van xs4all je niet beschermd tegen deze praktijken.
Ik wil wel controle houden over de DNS die ik gebruik.
Ik heb er preventief het adres van xs4all ingezet.

[Reactie gewijzigd door erikmeuk3 op 23 juli 2024 19:44]

Tadango 25 februari 2020 16:19

Betekend dat de browser dan de DNS instellingen van de computer negeert? Dus je lokale DNS gebruikt hij dan ook niet, of alleen als fall-back? Ik gebruik deze juist voor interne routing van een eigen domein.... en als je pi-hole draait, dan werkt dat zeker ook niet meer?

Mikke8 @Tadango • 25 februari 2020 16:25

Dit zorgt inderdaad in beide gevallen voor problemen.
Je kan DoH uitschakelen (wanneer het voor u ook standaard geactiveerd zou worden) via volgende methode:
https://support.mozilla.o...-disabling-dns-over-https

In een bedrijfsomgeving (of bij gebruik van PiHole) kan je een random DNS A-record voor use-application-dns.net aanmaken op uw DNS server. Hiermee zal DoH ook niet gebruikt worden: https://support.mozilla.o...in-use-application-dnsnet

Diago @Mikke8 • 25 februari 2020 20:02

DoH uitgeschakelen voor lokaal en intranet (VPN) access:
network.trr.excluded-domains;localhost,local,microsoft.com

Hiermee kun je network.trr.mode;3 permanent aan houden.

[Reactie gewijzigd door Diago op 23 juli 2024 19:44]

dmantione @Diago • 25 februari 2020 21:07

Dan doe je de aanname dat iemand zo graag DoH wil gebruiken dat hij het alleen maar voor lokale domeinen wil uitschakelen... Hehe ik dacht het niet... weg met die troep en de /etc/resolv.conf respecteren.

Jazco2nd @Diago • 25 februari 2020 22:53

Als er een policy is, is DOH sowieso uitgeschakeld. Dus bedrijven en hun intranet hebben hier helemaal geen last van.

the_stickie @Jazco2nd • 25 februari 2020 23:28

dat valt nog te bezien.
Voornamelijk kleinere organisaties die een lokale dns beheren om wat interne zooi te presenteren ontdekken mogelijk dat het niet meer werkt op firefox, maar wel op elke ander browser. Meteen ook de reden waarom Mozilla heel veel if/then/eljes heeft gebruikt om de feature werkelijk in te schakelen: geen policies, geen specifieke dns reocrds, volledige internet toegang,....
Ik vind het een mooie feature, maar langs de andere kant echt wel iets waar enige 'consent'/toestemming of bewustmaking meer dan op zijn plaats is.

Jazco2nd @the_stickie • 26 februari 2020 09:19

Heb je dit getest? Want het klopt niet. Firefox valt gewoon terug hoor op normale DNS als het adres niet is gevonden. Ik heb het aangezet en daarna getest. Mozilla is niet gek.

Lambert

@Diago • 26 februari 2020 06:19

Bijbehoorende link ter info

Mushroomician @Mikke8 • 25 februari 2020 17:08

I.p.v. uitschakelen zou iemand misschien ook wel een eigen DoH-server kunnen opzetten. Dan heb je tóch een versleutelde verbinding op al je apparaten naar een soort centrale-hostfile. Eventueel voor één specifiek of al je apparaten/software. Maargoed dit is allemaal nog best nieuw voor mij maar de keuze in Firefox om te kiezen heb je in iedergeval wel. Het hóeft geen cloudflare te zijn. Nog niet in iedergeval...

kodak

Privacy

@Mushroomician • 25 februari 2020 19:35

Hoewel Mozilla het in het blog doet lijken alsof dit alleen gaat om een versleutelde verbinding zijn er bij de klassieke vorm van dns services meer privacykanten. Een DoH-server opzetten waar je via encryptie dns doet zorgt er niet voor dat er dus niemand kan meeluisteren. Het verplaatst het mogelijk kunnen afluisteren. Een van de kanten waardoor het afluisteren moeilijker is bij de oplossing van Mozilla is ook het massale gebruik. Door je eigen DoH-server op te zetten maakt je het dus mogelijk zelfs makkelijker dat anderen je dns-verkeer naar je kunnen herleiden.

caipirinha @Mikke8 • 25 februari 2020 18:08

Je kunt het ook permanent disablen door in about:config network.trr.mode op 5 te zetten.
Mocht de menuoptie ooit verdwijnen.

mkools24 @Mikke8 • 25 februari 2020 17:06

Weer een seconde langer opstarten dus door deze check.

FireDrunk

@mkools24 • 25 februari 2020 18:52

DNS is udp en reageert doorgaans in een paar ms. Dat is bij lange na geen seconde(n)...

funxiun @FireDrunk • 26 februari 2020 22:22

DNS is udp én tcp. Als de packet size groter is dan 512 bytes dan switched het protocol over op tcp.
Dit laatste zal steeds vaker voorkomen vanwege bijvoorbeeld DNSSEC.
Dus zet op je router voor DNS naast udp ook tcp open op poort 53.
We blijven het gelukkig nog steeds hebben over milliseconden hoor.

FireDrunk

@funxiun • 27 februari 2020 07:13

Nou ja, ik bedacht me wel. De TLS handshake voor HTPS duurt natuurlijk iets langer. Dus @mkools24 heeft wel een klein beetje een punt. Maar een seconde zal het niet snel zijn.

lenwar

@Tadango • 25 februari 2020 16:31

Negeren is een beetje te sterk uitgedrukt. Het betekend dat hij het standaard zelf probeert, en als dat niet lukt, gaat hij het aan het OS gaat vragen. Maar als je je eigen DNS-server draait kan je tegen FF zeggen dat hij dat niet mag door een foutmelding te laten geven op use-application-dns.net.
https://support.mozilla.o...in-use-application-dnsnet

Simpele voorbeelden:
Dnsmasq: server=/use-application-dns.net/
Unbound: local-zone: "use-application-dns.net" always_nxdomain

Als je het helemaal funky wil doen kan je natuurlijk ook zelf een eigen DoH-compatibele server draaien.

terradrone

@lenwar • 25 februari 2020 19:21

in opnsense kan je het met unbound dns op de volgende manier doen (met dank aan de betreffende auteur):

https://forum.opnsense.or...c=14185.msg65360#msg65360

beerse @Tadango • 25 februari 2020 16:38

Ja, de eigen vertrouwde dns server, zowel thuis (pi-hole en zo) als die van je eigen vertrouwde provider worden compleet genegeerd. Het dns-protocol wordt voor de browser namelijk compleet genegeerd.

bonzen @Tadango • 25 februari 2020 18:23

De beschreven DoH functionaliteit in de browser heeft inderdaad gevolgen voor de locale DNS.

Maar als je kunt ook Pihole configureren om gebruik te maken van claudflare. Het voordeel daarvan is dat alle DNS verzoeken via DoH gaan (ook van andere browsers bijvoorbeeld).
Ik kwam dit artikel tegen waarin beschreven wordt hoe dit gebeuren moet.

https://docs.pi-hole.net/guides/dns-over-https/

lenwar

@bonzen • 26 februari 2020 10:50

Als je die kant op wil gaan kan je net zo goed dnscrypt-proxy2 gebruiken. Heeft ook DNS-blacklists en praat zelf met een publieke DoH server (zoals die van Cloudflare). Dat scheelt weer een schakel. Het enige dat het niet heeft is een web interface.

Tinxian @Tadango • 25 februari 2020 16:21

Ook internationale gebruikers kunnen de twee providers kiezen als DoH-resolver, of zij kunnen een eigen dns instellen.

Tadango @Tinxian • 25 februari 2020 16:23

Ja, nu nog optioneel, straks dus standaard aan en daarna..... verplicht?

MrFax @Tadango • 25 februari 2020 16:27

Lijkt me heel erg sterk dat verplicht aan ooit zalgebeuren. Dan zou Mozilla al zijn niche klanten verliezen, waarvan heel veel tech savvy zijn en weten hoe DoH tegen net neutraliteit is. Je geeft een handjevol partijen alleenrecht over dns registraties.

EraYaN @MrFax • 25 februari 2020 18:24

DoH heeft helemaal niets met net neutraliteit en DNS registraties te maken. Ik heb echt geen idee waar je dat vandaan haalt, het is puur een encryptie laagje over normale DNS functionaliteit.

Wim-Bart @EraYaN • 26 februari 2020 01:09

Ik geloof dat jij er niets van snapt.

Ik heb even op mijn Browser Firefox DoH aangezet waarbij mij het volgende opviel:

Alle requests gaan naar Cloudflare, ook de INTERNE!

Ik heb de mitigatie uitgevoerd welke hier beschreven staat:
https://support.mozilla.o...in-use-application-dnsnet

Werkt niet, Firefox houdt zich er niet aan. Je bent dus totaal overgeleverd aan de DNS provider. En dat zijn er twee. Die zien dus ook al jouw INTERNE server namen.

Firefox raadpleegt 0,0 keer het "canary" domein, er is geen enkele aanvraag terug te vinden in de DNS op het moment dat je een fqdn gebruikt. Bijvoorbeeld mijn interne servers servernaam.home.public.tld waarbij public.tld een .nl domein naam is. In dit geval negeert Firefox het gewoon en vraagt de interne naam bij cloudflare op (Zie je mooi in Wireshark langs komen).

Kortom, iedere burger wordt zonder Opt-In straks gedwongen om Cloudflare te voorzien van aanvragen. En nog veel schokkender, er is zelfs een speciale DoH voor Firefox met de naam mozilla.cloudflare.com

EraYaN @Wim-Bart • 26 februari 2020 09:16

Dat ligt toch echt gewoon aan je eigen instellingen hoor, je kunt gewoon zelf een custom DoH server kiezen (net als bij normale DNS) dus echt veel is er niet veranderd.

Als het canary domein niet geraadplaagd wordt, moet je een bug openen want dat is wel degelijk de bedoeling. 1 maal per boot geloof ik met de system resolver.

Wim-Bart @EraYaN • 26 februari 2020 19:13

Canary gaat niet goed om wanneer hij denkt dat de site op Internet zit omdat een fqdn niet gezien wordt als lokaal netwerk.

Voorbeeld:

Server.home.domein.nl werkt goed. Omdat hij ziet dat home.domein.nl overeenkomt met lokale dns domein.
Server.domein.nl ziet hij als internet terwijl het ook een interne naam is.

Heel vervelend wanneer je dus met split-dns werkt voor bijvoorbeeld exchange waar intern en extern logischerwijs in zelfde zone zitten.

Wim-Bart @EraYaN • 25 februari 2020 19:07

Nee DoH is een methode om te voorkomen dat mensen advertenties blokkeren via PI-hole of andere DNS gebaseerde filter.

DoH is gewoon een slecht idee. Tracking kan gewoon plaats blijven vinden en veel erger, je hebt nu helemaal geen controle meer Over. DoH is gewoon een heel slecht idee.

EraYaN @Wim-Bart • 25 februari 2020 20:36

Je hebt duidelijk geen enkel idee waar je het over hebt. Als de devs van PI-hole of wat dan ook een beetje zouden willen kunnen ze zelf prima support toevoegen voor DNS over HTTPS of bijvoorbeeld DNS over TLS. Er is NIETS maar dan ook NIETS aan het protocol wat ook maar enige belemmeringen zou op leggen. Dus ik denk dat jij nog eens even heel goed moet kijken wat het protocol nou eigenlijk doet, en wat de impact echt is.

Z80 @EraYaN • 25 februari 2020 21:23

Ik zou zeggen begin opnieuw met lezen.
Door DoH is er niets meer lokaal te filteren. Niet door spamfilter, niet door een hardware firewall, gewoon niet. Het is namelijk https verkeer tussen de browser en de dns server. En ook nog eens over poort 443. Dus blokkeren gaat ook niet. In dit geval vreet Firefox enkel door FF goedgekeurde dns servers. Die vervolgens een pracht van een profiel van elke gebruiker kunnen aanleggen.

Z80 @EraYaN • 25 februari 2020 22:12

Dat je het uit kunt zetten. En vervolgens een hele grote waarschuwing krijgt dat je onveilig bezig bent maakt het protocol en de onhebbelijkheden er van niet minder beroerd.
Nogmaals dns over https betekend dat je niets meer kunt filteren PUNT. Enkel door het uit te zetten kun je je netwerk beveiligen en troep blokkeren.

EraYaN @Z80 • 26 februari 2020 09:18

Je kunt daar gewoon het adres van je filter oplossing aangeven hoor. Dan kan er naar hartenlust gefilterd worden. Ik zou niet weten waarom het feit dat het nu encrypted verkeer is dat niet meer zou kunnen. Er wordt hier vooral erg veel geroepen maar niemand lijkt geprobeerd te hebben het überhaupt te deployen.

Z80 @EraYaN • 26 februari 2020 10:37

Ik vind het heel knap dat jij encrypted verkeer kunt filteren. Al het verkeer buiten de browser is namelijk encrypted.
Dus vertel eens hoe wil je dat in een hardware firewall, router of Pi gaan filteren?

En ja ik heb reeds de nodige testen uitgevoerd. En ook de nodige documentatie gelezen hoe dit protocol werkt.

EraYaN @Z80 • 26 februari 2020 11:55

Je voert het IP in van je eigen DoH server in natuurlijk, dat leek me duidelijk. BIND + nginx of dnsmasq+lighttpd kunnen dit prima, dus iedere vendor kan dit prima implementeren in hun eigen firewal solution. Als je vendor dat nog niet gedaan heeft ligt dat aan hen. Sommigen lijken alleen maar DNS over TLS te willen ondersteunen, gelukkig zijn er ook een stel projecten die gewoon beiden hebben toegevoegd (of plannen dat te doen).

PiHole bijvoorbeeld kan het in combinatie met lighttpd en dnsmasq of unbound bijvoorbeeld. Het is allemaal niet zo heel moeilijk.

Zo dus, allemaal niet zo denderend.

Z80 @EraYaN • 26 februari 2020 12:36

Je gaat een eigen DoH server inrichten die FF nu nog niet ondersteund. Top. Werkt perfect. Not.
En waarom zou je een eigen DoH server inrichten? Sloop die meuk meteen uit de browser. ipv een paard achter de wagen te spannen.

EraYaN @Z80 • 26 februari 2020 14:02

Firefox ondersteund het allemaal prima. Ik weet niet waar je het over hebt, je kunt gewoon je eigen server invoeren. Ik vraag me af of je het überhaupt geprobeerd hebt, ik draai hier pfsense en DNS over TLS was met de unbound die meegeleverd is triviaal en DNS over HTTPS kon ik gewoon prima met de http server op de distributie doen.

Je tuigt toch ook al je eigen DNS server op als je wil filteren? Dus waarom ziet men dan ineens zwart voor de ogen als die een extra protocol moet ondersteunen? Vooral als er goede redenen zijn om al je DNS verkeer ook te willen versleutelen, zeker binnen grotere organisaties. Dus niks meuk, het is eigenlijk helemaal niet oké dat DNS verkeer nog onversleutelt over het internet gaat.

dmystic @Z80 • 25 februari 2020 22:44

Volgens mij gaat het plaatje meer over de optie Custom, waardoor je dus je eigen DoH server kan instellen, waar je dus gewoon weer in kan blokkeren.
Enige verschil is dat je nu dus actief zelf kiest wie er kan filteren, ipv de huidige situatie waar je ISP of andere externe partijen dit kunnen doen

the_stickie @Z80 • 25 februari 2020 23:35

je kan nog altijd client side filteren

en als dat je niet bevalt zijn er massa's manier om dit niet te gebruiken - zonder waarschuwingen.

Of dit een goede feature is of niet hangt wmb helemaal van de context af. In de context van corporate IT security (en dus url filtering) lijkt firefox (en chrome) voor mij eerder sowieso ongewenste software. Anderzijds in de context van Amerikaans home users, wiens dns data tegen harde dollars verhandeld wordt, lijkt dit wel "great". Al blijft het "wie vertrouw je het meest"....

dmantione @EraYaN • 25 februari 2020 23:08

Het is maar een protocol wijziging jongens, er veranderd niets aan de werking van DNS...

Nee, een protocolwijziging is nu net waar het niet om gaat (overigens vind ik het protocol nog steeds een krankzinnig idee). Het is het verplaatsen van het decentrale DNS naar één partij (oké twee dan) die daarmee supermachten verkrijgt. Dát is waar het om gaat.

Jazco2nd @Z80 • 25 februari 2020 22:51

Je kan prima eerst filteren en daarna de DNS query doen. Zelfs met Pihole kan dat gewoon icm DoH https://docs.pi-hole.net/guides/dns-over-https/

[Reactie gewijzigd door Jazco2nd op 23 juli 2024 19:44]

fdh @Jazco2nd • 26 februari 2020 08:17

Dat is volgens mij enkel om vanuit Pihole DOH uit te voeren.
Als je browser zelf al DOH gaat forceren, dan gaat dit niet via de Pihole kunnen gefiltered worden

Jazco2nd @fdh • 26 februari 2020 09:23

Deze setting is niet default aan.

Wel voor US wat heel logisch is. Het is daar een feit en een groot probleem dat ISPs een omzetstroom hebben uit je browser geschiedenis. Dat is de reden dat het default aan staat daar. Daarmee helpt Mozilla in 1 klap alle US gebruikers. Wetgeving daar is vooral in het belang van ISPs ipv burgers.

Er is geen enkele reden om dit voor NL default aan te zetten. Gelukkig is er wel een switch voor wie dat wil.

Het lijkt alsof compleet wordt genegeerd waarom Mozilla hier tijd en geld in stopt. Er is een serieus probleem wat ze nu oplossen. We moeten stoppen dit alleen maar vanuit ons eigen perspectief te bekijken.

Jerie

@Z80 • 4 maart 2020 08:25

NextDNS ondersteunt blocklists. Hierdoor krijg je feitelijk dezelfde functionaliteit als een Pi-Hole, maar dan zonder er eentje te draaien. Of dit ook met DoH werkt weet ik niet; ik gebruik DoT.

Ik ben het volledig eens met een ieder die er huiverig voor is dat DNS op deze manier wordt gecentraliseerd, en dat het logging ook toestaat. Warrant cannary is op z'n plaats. Echter, in de VS doen nagenoeg alle ISPs aan injection en MITM. Bovendien kunnen ze ook profiling doen op basis van DNS.

Dan is dit onder de streep toch een plus aldaar.

MrFax @EraYaN • 26 februari 2020 17:24

Als Mozilla het niet mogelijk zou maken om je eigen DoH DNS te kunnen gebruiken, dan is dat wel tegen netneutraliteit! En dit zou Mozilla heel makkelijk kunnen doen. Ook andere browsers(Chrome) zouden het onmogelijk kunnen maken om je eigen DNS servers te gebruiken. Het was eerst al alleen mogelijk om Cloudflare te gebruiken. Alle DNS requests worden als internet-facing packets verstuurd naar Cloudflare, ook LAN requests. Dacht het toch ff lekker niet. Als DoH niet uit kan is het dag Firefox.

Ik snap gewoon niet waarom DoT niet gewoon kan? Dit maakt het veel makkelijker om bestaande DNS providers te gebruiken, en behoudt de mogelijkheid om het ook zonder TLS te gebruiken.

TLS zit in de transport layer, en is voor dit soort zaken(het veilig versturen en ontvangen van packets) ook bedoeld! Waarom moet Mozilla zo hard forceren op DoH? Je hebt zo geen enkele controle over je DNS verkeer!

[Reactie gewijzigd door MrFax op 23 juli 2024 19:44]

sjakie02 25 februari 2020 16:20

En weg privacy... Alles DNS requests naar 1 globale partij die mooi alles in beeld heeft.

Kalief @sjakie02 • 25 februari 2020 16:25

Nu gaan al je DNS requests naar je internet provider. Of een eigen keuze als je die instelt. Maar dan nog steeds naar elke keer dezelfde. Er is geen privacy verschil.

Mijn grootste bezwaar is dat DoH mijn lokale hosts file negeert. En juist daarmee blokkeer ik de meeste malware- en advertentie sites.

[Reactie gewijzigd door Kalief op 23 juli 2024 19:44]

sjakie02 @Kalief • 25 februari 2020 16:28

Spijker op de kop: mijn eigen keuze dus wel degelijk een groot verschil

lenwar

@sjakie02 • 25 februari 2020 16:40

Maar je hebt die keuze nog steeds. Je kan ook een andere DoH provider instellen in Firefox, of het helemaal uitzetten. Het staat alleen standaard aan.

kodak

Privacy

@lenwar • 25 februari 2020 19:07

Het staat alleen standaard aan wil im dit geval zeggen dat ook de andere privacy nadelen standaard aan staan.

Dit is geen kwestie meer van dit is wel met encryptie dus beter dan zonder. Dit is wij van Mozilla vinden onze commerciele dienstverleners betrouwbaarder dan wat je van je ISP of bedrijf aangeboden krijgt en als het je niet bevalt kan je met wat moeite een eigen keuze maken. En dat maakt het vooral een keuze van Mozilla, niet van de gebruiker.

Clemens123 @sjakie02 • 25 februari 2020 16:40

? Je kan nog steeds je DNS over TLS provider kiezen...net zoals je nu standaard DNS servers gebruikt van je ISP zijn diegene die actueel aangeboden worden geen verplichtingen.

dmantione @Clemens123 • 25 februari 2020 22:46

Standaardinstellingen zijn een zeer geniepig middel om macht over gebruikers uit te oefenen. Alleen gebruikers die zich ergens aan ergeren veranderden standaardinstellingen. Alle browsers checken die je gebruikt is arbeid die je moet verrichten. Dat zet een kostprijs op het veranderen van standaardinstellingen, waar je als gebruiker moet afvragen of het je waard is. Standaardinstellingen moeten om die reden gewoon goed zijn en dat is hier niet langer het geval: Dit zijn spelletjes van Mozilla. Als je het de gebruikers zou vragen, wat zou het antwoord zijn?

Clemens123 @dmantione • 26 februari 2020 00:27

Google is al lang standaardzoekmaschine van Mozilla...zo verdienen zu nu eenmaal geld, iemand moet die werknemers ook betalen.
Bovendien DNS -> dat was altijd al dat iedereen (dus de niet techspecialisten) de standaard DNS instellingen gebruiken! (typisch die van de ISP).

Bovendien we praten hier over DNS...dat veraadt welke website host je bezoekt...maar ook niet meer dan dat.
En als je een VPN gebruikt verraadt DNS zelfs niets meer want je IP is het enige wat je kenbaar maakt.
Dat is echt niet hoe je actueel als gebruiker bespioneerd wordt, dat gebeurt namelijk vooral met cookietrucjes.
Ja uiteraard zullen DNS Servers als die van Google data verzamelen over het geheel om hun zoekmaschine bv. te verbeteren, maar DNS is echt niet handig om aparte profielen van gebruikers te verzamelen, alleen al omdat bv. in een huis typisch meer dan 1 persoon vanaf hetzelfde IP requests maakt.

[Reactie gewijzigd door Clemens123 op 23 juli 2024 19:44]

dmantione @Clemens123 • 25 februari 2020 22:58

Tel daar overigens bij op dat ze het ook nog eens naar de gebruiker presenteren als "we hebben je privacy verbeterd met dit nieuwe snufje", wat zacht gezegd nogal wat genuanceerder ligt en hard gezegd pure misleiding is. Daardoor kunnen minder ingelezen gebruikers geen weloverwogen keus maken. We moeten geen wereld willen waar privacy alleen voor nerds is.

Clemens123 @dmantione • 26 februari 2020 00:31

Ik zie dit veel meer als een veiligheid dan een privacy truc.
Er is al niet zo veel privacy die je met DNS prijsgeeft (want typisch komen er aanvragen van vele gebruikers vanaop een bepaald IP, wat het moelijk maakt profielen op te stellen van gebruikers aan de hand van DNS requests), daarnaast kan je gewoon een VPN gebruiken en dan is er zelfs geen probleem als je VPN provider te vertrouwen is.

Wel is dit beter voor de veiligheid (itt tot bv. VPNs die niets bijdragen tot veiligheid), aangezien zaken als man in the middle attacks bij DNS requests niet meer mogelijk zijn.

En nogmaals minder ingelezen gebruikers kiezen toch al niet wie hun DNS provider is...

[Reactie gewijzigd door Clemens123 op 23 juli 2024 19:44]

dmantione @Clemens123 • 26 februari 2020 14:00

Eh nee, DNS is sowieso al redelijk ongevoelig voor man-in-the-middle, omdat er niet te veel partijen tussen kunnen komen tussen jouw modem en de DNS-server van je internetaanbieder, maar er zitten bovendien ook nog extensies in het DNS-protocol om mannetjes in het midden te voorkomen.

Juist DNS-over-HTTP maakt het mogelijk om profielen van gebruikers op te stellen, omdat tijdens de TLS-onderhandeling sleutels worden uitgewisseld die het mogelijk maken een apparaat te identificeren. Voor het opstellen van profielen via DNS is dit het Ei van Columbus. Via het bekende DNS-protocol is dat stukken lastiger.

latka @Kalief • 25 februari 2020 16:30

Nee, ik stuur mijn DNS verkeer naar Ziggo of xs4all afhankelijk van waar ik zit. Nu stuur ik in alle gevallen iets naar Cloudflare. Duidelijk anders dus. Waarom is DoH niet opt-in ?

cnieuweboer @latka • 25 februari 2020 16:55

Omdat ISP's in USA gebruikers data vaak verkopen is deze optie daar opt-out. In Europa gebeurd dat niet, daarom in de optie hier opt-in.

kodak

Privacy

@cnieuweboer • 25 februari 2020 17:50

Waarop baseer je deze beweringen? Want de motivatie in de blogpost van Mozilla is dat het wegens gebrek aan encryptie en dus risico op wellicht meekijken is. Niet om bewezen meekijken of zelfs doorverkopen.

dodners @Kalief • 25 februari 2020 16:38

Er is inderdaad geen 'verlies' van privacy. Verzameld door 1 globale partij zou een goed argument zijn, maar naar verwachting zal het aantal trusted resolvers toenemen. Dan blijft alleen 'algemene globalisatie' staan, maar wie gaat dat tegenhouden? Als je meer privacy wilt moet je toch echt over op TOR browser/VPN.

dmantione @dodners • 25 februari 2020 20:54

Er onstaat een belangenconflict kwa privacy. Mijn internetaanbieder is financieel van mij afhankelijk. Het is daarom in zijn handelsbelang mijn privacy te beschermen. Een derde partij die een gratis dienst aanbiedt, heeft andere handelsbelangen. Gegevens die een waarde hebben zullen vanzelf een keer te gelde gemaakt worden.

Maurits van Baerle @Kalief • 25 februari 2020 16:40

Nu gaan al je DNS requests naar je internet provider.

Je internet provider? Bij sommige mensen is het nog erger, die sturen al hun DNS verkeer vrijwillig rechtstreeks naar Google omdat ze 8.8.8.8, 8.8.4.4, 2001:4860:4860::8888 of 2001:4860:4860::8844 als DNS hebben ingevuld.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 19:44]

elmuerte @Maurits van Baerle • 25 februari 2020 19:53

Je ISP kan elke DNS request zien in hun netwerk. Ook de requests naar Google kan de ISP zien, en zelfs aanpassen.

Maurits van Baerle @elmuerte • 25 februari 2020 23:37

Jawel. Maar Google krijgt normaal gesproken niet ieder DNS verzoek (elke website die je bezoekt, elke mailserver die je checkt, elke updateserver waar je mee verbindt, elke app die naar huis belt) te zien, tenzij je daar dus expliciet voor kiest door Googles DNS servers in te stellen.

Groentjuh @Kalief • 25 februari 2020 16:44

Ik draai mijn eigen DNS-resolver, dus weet mijn internet provider ook niet wat ik doe op basis van DNS.
Dat is ook een heerlijk plekje om DNS iets aan te passen naar mijn wens!

In mijn netwerk zorgt de DNS-resolver er dan ook voor dat use-application-dns.net goed staat, dus om in de toekomst te voorkomen dat Firefox ineens besluit Cloudflare te gaan gebruiken.

[Reactie gewijzigd door Groentjuh op 23 juli 2024 19:44]

kodak

Privacy

@Kalief • 25 februari 2020 18:28

Alles over een kam te scheren maakt nog niet dat alles dus het zelfde is. De oorspronkelijke situatie is dat je een keuze maakt voor een provider en dat die je dns verkeer verzorgt tenzij je wat anders wil. Van bepaalde gebruikers gaat het dan via provider x, andere gebruikers via y enz. Mozilla zegt nu wij bepalen wel wat goed voor onze gebruikers is en alles gaat nu via de commerciele bedrijven waar wij vertrouwen in hebben tenzij je zelf een keuze maakt.
Dat zijn twee verschillende situaties met verschillende gevolgen en wel degelijk met verschillen voor privacy. Er zitten aan beide kanten voor en nadelen. Het massaal via de keuze van mozilla laten verlopen heeft helaas ook zo zijn nadelen. Je hebt gelijk dat er in beide situaties een afhankelijkheid is maar dat maakt de inhoudelijke risico's nog niet gelijk.

TomONeill @Kalief • 25 februari 2020 18:38

Er is wél een privacy verschil. De DNS van je internetprovider is gelokaliseerd is NL. Nu gaat al het internetverkeer naar het Amerikaanse Cloudflare, die daarbij een enorme db kan opbouwen van wat iedereen bezoekt. De internetproviders hier kunnen dat alleen van hun eigen klanten doen, als dat wettelijk gezien al mag.

Wim-Bart @Kalief • 25 februari 2020 19:11

Nee hoor, heb zelf een DNS server thuis draaien die gewoon na de root servers gaat. Niks via provider DNS.

Wat mij stoort is dat DoH gewoon heel veel methoden voor blokkeren van advertenties en tracking kapot maakt. En wanneer je in je browser een plugin nodig hebt hiervoor ben je al te laat. DoH is gewoon een techniek om advertenties en tracking af te dwingen.

Z80 @Kalief • 25 februari 2020 22:22

Jawel dat is er wel. Een hele grote zelfs.
Nu ziet je dns provider enkel de wan adres van een verbinding. Niet wat er achter zit.
Bij DoH wordt er de eerste keer per node een key gegenereerd. Deze blijft vervolgens gekoppeld aan deze node. De dns provider ziet nu dus ELKE node achter de router ipv de oude situatie.
Neem even voor het gemak je smartfoon. Deze maakt verbinding met een DoH server en genereert een key voor de verbinding. Vervolgens kan de DoH provider de smartfoon overal volgen. Ongeacht of je ergens op een wifi zit of een data verbinding met je telecom provider gebruikt. Die key betekend dit apparaat. Altijd en overal. Enkel als je zelf active elke keer de key verwijderd ben je niet te volgen.
DoH wil je niet.

Verwijderd @Kalief • 25 februari 2020 16:31

Je kan die ook gewoon op dns niveau blokkeren

johnkeates @Kalief • 25 februari 2020 16:47

Je kan DoH ook lokaal (met je hosts file zelfs) blokkeren he.

Wim-Bart @Kalief • 26 februari 2020 19:22

Nee hoor, draai al sinds ik Internet thuis heb een eigen DNS server die gewoon naar de root servers gaat. Daarom ook geen issues gehad toen Ziggo problemen had met DNS. En PI-Hole zit tussen deze DNS server en mijn clients.

En met bijvoorbeeld een Synology kan je zelf een DNS server opzetten bijvoorbeeld.

Jerie

@Kalief • 4 maart 2020 08:53

Hoewel ik het er mee eens ben dat men hosts files moet respecteren kan NextDNS kan ook fungeren met blocklists. Bovendien is het in de VS zo dat nagenoeg alle grote ISPs (zijn er maar een paar) MITMs doen op DNS, inclusief injection van bijv ads of andere ongein (marktwerking... wat werkt het goed!

lenwar

@sjakie02 • 25 februari 2020 16:32

Of het nou naar je ISP gestuurd wordt of naar Cloudflare (die het standaard is bij Firefox). De mensen die weten hoe ze hun DNS-instellingen moeten veranderen, kunnen het ook wel uitzetten in Firefox.

sjakie02 @lenwar • 25 februari 2020 16:39

Ja precies, een normaal mens weet dat niet. Dus 99% van de requests van over de hele wereld komt straks bij CloudFare. Nu is al die kennis verspreid over duizenden providers wereldwijd wat het een veel kleiner privacy probleem maakt. Ik snap niet dat dit zo weinig opstand oplevert.

lenwar

@sjakie02 • 25 februari 2020 16:46

Kan je mij uitleggen hoe het een privacy-probleem is als het over een grotere groep mensen gaat?
Privacy is een persoonlijk iets. Simpel gezegd: Mijn gegevens hebben niets met die van jou te maken. Al zou onze data bij Cloudflare gecorreleerd worden, dan is dat nog steeds niet een groter 'privacyprobleem' voor mij dan dat het alleen mijn data is.

Buiten dat is het privacy statement van Cloudflare bijzonder netjes:
https://developers.cloudf...cy-policy/privacy-policy/

(ervan uit gaan dat ze niet liegen uiteraard. Ik heb in elk geval geen reden om dat te denken)

arjankoole @lenwar • 25 februari 2020 16:52

Cloudflare is en blijft een Amerikaans bedrijf. Dat maakt privacy altijd kwetsbaar.

Als het een Duitse toko was geweest waren de zorgen significant minder geweest.

Wim-Bart @lenwar • 25 februari 2020 19:13

Ik heb er geen zin in dat Clouflare ziet naar welke porno sites ik ga. Bijvoorbeeld...

sjakie02 @lenwar • 26 februari 2020 08:59

Het is toch een veel groter probleem als 1 partij van iedereen weet welke politieke voorkeur je hebt dan wanneer duizenden bedrijven van een klein deel van de bevolking dit weten? Wat nou als Cloudflare na 10 jaar gekocht wordt door de chinese overheid (of welke kwaadwillende partij dan ook)? Zouden de oeigoeren het dan nog steeds zo fijn vinden dat ze in ieder geval dns-over-https hebben gebruikt?

lenwar

@sjakie02 • 26 februari 2020 10:42

In het geval van Cloudflare blijft de data 24 uur bewaard (volgens hun eigen privacy statement in elk geval), dus daar zie ik niet zo'n probleem. Maar stel dat een kwaadwillende partij het opkoopt en de data niet meer verwijderd en het gaat correleren en zo gaat kijken of de Oeigoeren een bepaalde politieke voorkeur hebben, dan zijn ze redelijk omslachtig bezig. Er zijn makkelijkere manieren om daar achter te komen dan DNS-verzoeken te volgen.

Uiteraard snap ik dat het maar een voorbeeld is en ik begrijp uiteraard dat je best gevoelige gegevens uit handen geeft, maar dan nog zie ik niet in hoe dit 'mijn privacy' erger aantast. Mijn politieke voorkeur is de mijne, en zegt niets over de jouwe. De betreffende Chinese overheid kan dan hooguit correleren dat twee mensen met een Nederlands IP adres beide voorkeur hebben voor de Partij voor de bomen.
Stel dat de Nederlandse overheid over 10 jaar de kolder in z'n kop krijgt en mensen met bepaalde politieke voorkeuren gaat opspeuren, dan zijn we al een ander traject in gegaan.

Wim-Bart @lenwar • 26 februari 2020 19:23

Dus de data wordt bewaard..... Ook al is het maar 24 uur.

[Reactie gewijzigd door Wim-Bart op 23 juli 2024 19:44]

GertMenkel @sjakie02 • 25 februari 2020 17:06

Tja, zo'n probleem hebben we al langer, namelijk sinds het ontstaan van eDNS. SIDN (.nl) heeft bijvoorbeeld al verschillende onderzoeken gedaan uit hun database opgesteld van de DNS requests van alle DNS-queries die bij de .nl-root uitkomen. Met eDNS wordt er ook een subnet meegestuurd dat aangeeft wat de oorsprong van de recursive lookup was.

Nu Cloudflare er tussen is geplaatst wordt er zo minder data vergaard door SIDN maar weer meer door Cloudflare.

Vergeet trouwens niet dat dit in Amerika weinig verandert aangezien praktisch iedere ISP bij een van de twee giganten hoort. Diezelfde ISP's zijn aan het lobbyen dat het verkopen van internetgegevens van hun klanten onder hun vrijheid van meningsuiting valt. Ook injecteren veel providers javascript met advertenties in HTTP-pagina's (koop een nieuw modem!) waardoor ik persoonlijk Cloudflare meer vertrouw dan de gemiddelde ISP in the land of the free.

Je kunt je eigen server instellen of DoH uitzetten als je wilt, maar dan zul je toch echt je eigen server moeten gaan opzetten. ISP's hebben namelijk de neiging om domeinen die niet bestaan te vervangen door zoekpagina's, dus iedere mislukte lookup is een datapunt dat je ISP over je heeft.

In Nederland hebben we het maar goed als je kijkt naar wat voor wanpraktijken ze in Amerika uitvoeren. Ik ben het ermee oneens dat dit wereldwijd moet worden aangezet, maar voor landen als Amerika (en ook landen als Rusland en Turkije) vind ik dit een goede zaak.

mcDavid @sjakie02 • 25 februari 2020 17:39

Dit is een beetje te kort door de bocht. Je DNS requests gaan in veel gevallen sowieso al naar één globale partij, en wel eentje die het héél veel slechter voor heeft met je privacy dan Cloudflare.

Veel mensen en zelfs sommige internetproviders gebruiken/propageren namelijk Googles DNS servers (8.8.8.8 en 8.8.4.4). Daarnaast heb je in Amerika de situatie dat internetproviders zonder enige schaamte je DNS history doorverkopen aan de hoogste bieder. Om nog maar niet te spreken over landen waar de overheid DNS verkeer monitort om anders-denkenden op te sporen.

Kortom, voor onze situatie in Nederland is DoH niet zo boeiend of misschien zelfs "van de regen in de drup", maar voor een heel groot deel van de wereld is het juist een gigantische verbetering.

ewoutw 25 februari 2020 16:22

ik ben een provider. Ik weet niet welke vraag je net aan een DNS-server gesteld hebt. Maar ik weet wel dat je nu naar A.B.C.D surft dus dat zal het antwoord wel zijn geweest op je DNS-query.
Dit is toch een grootte wasse neus....

lenwar

@ewoutw • 25 februari 2020 16:38

Even los van dat SNI op het moment nog niet gecodeerd is (wordt aan gewerkt door Mozilla en Cloudflare samen, en kan al aangezet worden bij de huidige versies van Firefox), ziet je ISP alleen dat jij naar IP-adres 1.2.3.4 gaat. Achter één IP adres kunnen heel veel sites achter hangen.

Wat het belangrijkste aan DoH is (naar mijn mening in elk geval) is dat de DNS-antwoorden ondertekend zijn. DNS-spoofing is dus vele malen moeilijker (onmogelijk?).

ewoutw @lenwar • 25 februari 2020 16:42

Hiervoor kan je ook DNSSEC gebruiken. Vermoed eigenlijk dat DoH dit gewoon afdwingd.... maar dat is iets anders....

lenwar

@ewoutw • 25 februari 2020 16:51

DNSSEC is voor de server-kant.
Als ik aan de DNS-server vraag "Waar is appelflap.gebak.nl", dan weet ik met regulier DNS niet of dat antwoord 'echt' van mijn DNS-provider afkomt. (want allicht spooft het gehackte access point van de NS dit wel).
Met DoH zijn de antwoorden ondertekend en faalt het geheel simpelweg op het moment dat de certificaten niet kloppen.

DNSSEC heeft ondertekende reacties van up de upstream name servers.

Ik kan het niet goed 1-2-3 verwoorden, maar hier staat het beter uitgelegd (wel een lang verhaal):
https://www.transip.nl/blog/wat-is-dnssec/

mrdemc @lenwar • 25 februari 2020 17:47

Om dat even aan te vullen, maar DoH betreft een versleuteling van de verbinding en geen ondertekening van het datapakket.
Voor het verschil: Ondertekening van een dataset zou iedereen moeten kunnen valideren op echtheid, maar een versleuteling kan alleen diegene waarvoor het bedoeld is bekijken.

Voor diegene die dat willen kun je trouwens je eigen DoH server toevoegen aan FireFox via een user.js bestand of via about:config (ik raad het eerste aan zodat je dit kunt opslaan en kunt gebruiken op andere installaties).

Je zult dan de network.trr.resolvers moeten aanpassen zodat deze ook jouw eigen DoH-server benoemt, waarbij je in network.trr.uri de actieve DoH server instelt en in network.trr.mode kun je vervolgens instellen welke optie er gebruikt moet worden. (0=uit, 2=TRR eerst en native fallback, 3=TRR only). Let bij 3 wel op dat het domein van de trr.resolver zelf ook eerst geresolved moet worden. Daarvoor had je voor FireFox 74 het network.trr.bootstrapAddress veld waarin je de IP plaatste van de network.trr.uri server, maar tegenwoordig gebruikt Firefox daar standaard alsnog de native DNS server voor.

quote: https://wiki.mozilla.org/...work.trr.bootstrapAddress
network.trr.bootstrapAddress
(default: none) by setting this field to the IP address of the host name used in "network.trr.uri", you can bypass using the system native resolver for it. Use this to get the IPs of the cloudflare server: https://dns.google/query?name=mozilla.cloudflare-dns.com

Starting with Firefox 74 setting the bootstrap address is no longer required in mode 3. Firefox will attempt to use regular DNS in order to get the IP address of the trusted resolver. However, if DNS resolution of the resolver domain fails, setting the bootstrap address is again necessary.

Daarnaast zou eSNI trouwens een mooie aanvulling worden op het geheel, dan worden domeinen in het HTTPS verzoek straks ook meegenomen bij webservers die SNI ingeschakeld hebben vanwege bijv. shared hosting.

[Reactie gewijzigd door mrdemc op 23 juli 2024 19:44]

lenwar

@mrdemc • 25 februari 2020 22:01

Om dat even aan te vullen, maar DoH betreft een versleuteling van de verbinding en geen ondertekening van het datapakket.

Klopt, Ik beschreef het verkeerd. De verbinding zelf is middels de gebruikte https certificaten wel ondertekend door een CA.

Rudie_V @lenwar • 26 februari 2020 10:48

En @mrdemc @Marlinc @casberrypi @the_stickie

Even los van dat SNI op het moment nog niet gecodeerd is (wordt aan gewerkt door Mozilla en Cloudflare samen, en kan al aangezet worden bij de huidige versies van Firefox),

Ik heb encrypted SNI al een jaartje oid aanstaan in Firefox.
about:config
network.security.esni.enabled;true

Geen idee hoe het aan de server kant zit, als ik het volgende lees is daar nog veel te doen. Op 24 september 2018 was cloudfare de eerste aanbieder om esni te gaan ondersteunen.
Encrypting SNI: Fixing One of the Core Internet Bugs
https://blog.cloudflare.com/esni/
Encrypt it or lose it: how encrypted SNI works
https://blog.cloudflare.com/encrypted-sni/

Encrypted SNI Comes to Firefox Nightly
https://blog.mozilla.org/...comes-to-firefox-nightly/
Als het goed is sinds maart 2019 officieel in Firefox.

Browsing Experience Security Check
https://www.cloudflare.com/ssl/encrypted-sni/

Welke andere web servers esni ondersteunen weet ik zo niet. Heb daar nog geen informatie over kunnen vinden, eerder dat het nog niet ondersteund wordt.

mrdemc @Rudie_V • 26 februari 2020 10:56

Geen enkele webserver ondersteund het nog out-of-the-box, de standaard is ook nog in Draft en aan de documentatie te zien gaat dat ook nog ff duren helaas. Cloudflare en Firefox ondersteunen op dit moment een specifieke draft versie die ondertussen al gewijzigd is.

Tadango @ewoutw • 25 februari 2020 16:25

Niet helemaal... soms. Je verbindt nu naar x.x.x.x, wat een front kan zijn voor meerdere websites (cloudflare edg). De provider weet dus alleen naar welke host je gaat, niet welke site.

ewoutw @Tadango • 25 februari 2020 16:31

Ja bij shared hosting heb je dit ook. Maar alle echt grootte partijen zitten toch wel op eigen IP-adressen.
En volgens mij (weet het niet zeker) maar de response van de site komt wel nog van eigen server. Omdanks dat de aanvraag een cloudfare IP is.

Het blijft vooral de vraag wie je meer vertrouwd met je DNS gegevens. een DNSoHTTPS provider (google, cloudfare) of je eigen provider.
Dit is natuurlijk ook de reden dat het in Amerika is aangezet. Daar verkopen je providers je gegevens

latka 25 februari 2020 16:33

Waarom maakt Mozilla hier geen verdienmodel van: een eigen DNS service die geschoond is van allerlei zaken (prn, warez etc.). Deze DNS via DoH oid openstellen voor Firefox gebruikers en tegen betaling krijg je de geschoonde DNS (anders de reguliere). Combineer dat met een 'je moet betalen om in onze schone DNS te staan' en maakt er ook direkt een drempel van voor al te shady sites. Regulier DNS is altijd anonymous, maar met DoH kun je er wellicht een client-cert tegenaan gooien voor extra beveiliging.
Oh ja: ik heb al een entry in mijn DNS opgenomen om DoH uit te zetten.

kodak

Privacy

@latka • 25 februari 2020 20:02

Waarschijnlijk omdat Mozilla er niet aan wil verdienen door diensten betaalde diensten aan te bieden maar er voor kiest om voor gebruikers te bepalen welke bedrijven hun dns verkeer moet afhandelen tenzij je tegen bent. En dat is een geheel ander verdienmodel. Reken er namelijk maar niet op dat als er heel veel waarschuwingen zijn dat data geld waard is deze bedrijven dus geheel belangeloos maar wat graag al dat dns-verkeer voor Mozilla en haar gebruikers verwerken. Al is het waarschijnlijk een privacy vriendelijk verdienmodel.

Tout 25 februari 2020 16:23

Ik neem aan dat je deze optie uit kunt zetten.

Verwijderd 25 februari 2020 16:26

Ze gebruikte de https dns optie van nextdns.io

joo5ty 25 februari 2020 16:30

Is er enige zekerheid dat cloudflare nu niet gewoon alle dns statestieken bij gaat houden? Zij kunnen dan nu toch zien naar welke websites je surft?

Verwijderd 25 februari 2020 16:32

Een DNS verzoek wordt dus binnen de browser versleuteld en dan verzonden naar de ingestelde (vertrouwde) partij, die het request ontsleuteld en resolved. Het daar uit voorkomende resultaat wordt dan weer versleutelt terug gestuurd, als ik het goed begrepen heb.
Dan zou ik dus ook alles kunnen routeren naar de DNS server van mijn domein hoster in Duitsland, omdat de privacy regels van dat land mij meer bevallen dan de standaard keuze van Mozilla.

arnoudx6 25 februari 2020 16:59

Dit lijkt me niet heel bevorderlijk voor snel internet? HTTPS gebruikt TLS en TCP dus zal er straks veel meer verkeer zijn voor een simpele query

Het zou wel gaaf zijn als ze dit met QUIC zouden doen.
https://en.wikipedia.org/wiki/QUIC

Op dit item kan niet meer gereageerd worden.

Mozilla zet dns-over-https standaard aan voor Amerikaanse Firefox-gebruikers

Lees meer

Dns-over-https: vloek of zegen?

IT-banen

Reacties (126)

Sorteer op:

Weergave: