Microsoft zet dns-over-https standaard aan in Canary-builds van Edge

De nieuwste versie van Microsofts Edge Canary-browser heeft standaard dns-over-https aan staan. In de instellingen zitten bovendien nieuwe menu-opties waarmee het wisselen tussen dns-providers makkelijk wordt.

De veranderingen zitten in Canary-build 86.0.612.0 van Edge, een bèta-versie van de browser waar nieuwe functies in worden getest. In de nieuwste versie staat dns-over-https standaard aan.

In de browser zit ook een nieuw menu waarmee de DoH-instellingen te regelen zijn. Standaard staat de 'huidige serviceprovider' aan, maar gebruikers kunnen ook een eigen provider kiezen. Gebruikers die die optie kiezen kunnen kiezen tussen vier resolvers: Cloudflare, Quad9, Google en CleanBrowsing. Ook is het via een invulveld mogelijk een eigen provider in te voeren. Het is niet duidelijk of Microsoft later nog andere providers toevoegt. Mozilla doet dat bijvoorbeeld wel, op basis van een selectieprogramma.

Bij dns-over-https worden dns-queries versleuteld. Veel grote browser- en softwaremakers voeren die optie sinds een paar maanden door. Mozilla doet dat in Firefox, Google in Chrome, en Microsoft in zowel Edge als in Windows 10. Tweakers schreef eerder dit jaar een artikel over de voor- en nadelen van dns-over-https. Microsoft begon in mei met het toevoege n van DoH aan Windows 10. Eerder was het ook al mogelijk om via flags DoH in Edge op te roepen.

Edge_DoH

Reacties (96)

NickyVDP 21 augustus 2020 19:31

Recent heb ik een goeie video gezien van Bert Huber op NLNOG die hier een uitgebreide uitleg over geeft en waarom dit voor landen als amerika goed kan zijn maar not so much voor europa. https://www.youtube.com/watch?v=pjin3nv8jAo

wica @NickyVDP • 21 augustus 2020 20:33

Bert heeft idd een gave om moeilijke onderwerpen, helder uit te leggen.

bartje 21 augustus 2020 18:28

Zou dit niet beter op OS level kunnen?

ari3 @bartje • 21 augustus 2020 18:40

Ja, op OS niveau is beter. Maar nog beter is om geen HTTPS te gebruiken.

Op dit moment redirect ik alles want wil verbinden naar poort 53 naar mijn eigen DNS zodat zelfs als Google haar eigen nameservers hardcodeert in apps je nog steeds kan filteren.

Als Google HTTPS zou gebruiken dan is er geen mogelijkheid meer om te filteren voor eindgebruikers. En dat is de echte reden dat de tech-giganten dit systeem pushen. Ze willen geen blokkades van trackers en reclamediensten.

[Reactie gewijzigd door ari3 op 22 juli 2024 18:51]

Sandor_Clegane @ari3 • 21 augustus 2020 19:16

Cynisch, maar wel plausibel.

Helaas. Net hoe Google HTTPS pushed omdat ze je dan makkelijker kunnen tracken zonder cookies vanwege session resumptions van 24 en 48 uur.

https://www.ssl.com/article/tracking-users-with-tls/

lenwar

Dns
Beveiliging en antivirus

@ari3 • 22 augustus 2020 09:38

Ditzelfde kan je doen op poort 443, transparant certificaten genereren, en zo al het verkeer op je firewall ontsleutelen en controleren. Althans. Dat je wat mijn werkgever doet. Het vereist alleen dat je interne ca gedistribueerd is naar alle apparaten op je netwerk. Mogelijk dat je daar bijvoorbeeld met een chromecast ofzo op spaak zal lopen.

Ik weet overigens niet of dit ook gaat werken met esni.

KoeKk @lenwar • 22 augustus 2020 21:03

En dat is weer tegen te gaan met certificate pinning, weet ik alleen niet of dat met DoH mogelijk is.

Sandor_Clegane @bartje • 21 augustus 2020 18:31

Dat leek me ook, weer een level of indirection.... Ik snap ook niet waarom we niet gewoon DNS kunnen maken zonder dat iedereen weer met je gegevens wilt leuren. Maar ja, dat is nu eenmaal waarin we leven lijkt.

Weer een technische oplossing voor een sociaal probleem.

Verwijderd @Sandor_Clegane • 21 augustus 2020 18:33

En het ergste is dat we een decentraal systeem (dns) dat eigenlijk zijn werk goed doet, gaan centraliseren 3 of 4 tech-giganten die volledige controle over name-resolution op het internet gaan krijgen.

Sandor_Clegane @Verwijderd • 21 augustus 2020 18:34

En de andere 4 die alle andere diensten doen. Mooi man competitie en de vrije markt.

Verwijderd @Sandor_Clegane • 21 augustus 2020 18:39

Het heeft niks met vrije markt te maken. Het gaat erom dat nu enkele partijen al je dns data hebben, terwijl met het huidige dns systeem dit al veel decentraler is. Smijt er TLS zoals DNS-over-TLS (DOT) over, en je hebt een veel pricacy-vriendelijker systeem dan DOH.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 18:51]

Sandor_Clegane @Verwijderd • 21 augustus 2020 18:42

Ik doelde op dat search, social networking en cloud computing door de andere 4 worden gedaan. Amazon, Microsoft, Google en Facebook.

Z80 @Verwijderd • 21 augustus 2020 21:17

waarbij ik me afvraag mag dit wel.
via de dns aanvragen gaat er een heleboel info naar de VS. en zonder verdrag mogen zij die data helemaal niet verwerken.

akooijman @Z80 • 22 augustus 2020 07:51

Met een servertje in Ierland of zo omzeilen ze dit exportverbod.

ijdod

@akooijman • 22 augustus 2020 16:34

En dat servertje in Ierland is qua GDPR zo lek als een mandje. FISA702 voor de Amerikaanse win...

GekkePrutser

Microsoft Edge

@Sandor_Clegane • 21 augustus 2020 19:12

In elk geval heb je hier de keuze in 4 partijen waarvan sommige redelijk privacybewust zijn. Dit is wat mij betreft wel beter dan unencrypted waarbij je provider alles af kan luisteren. Ik vind wel DNS over TLS een betere oplossing, dat zeker.

Overigens vind ik zelf niks mis met technische oplossingen voor menselijke problemen

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 18:51]

Zer0 @GekkePrutser • 21 augustus 2020 20:13

Persoonlijk heb ik wat betreft privacy meer vertrouwen in mijn provider dan de 4 partijen uit het artikel.

telenut @Zer0 • 22 augustus 2020 10:07

persoonlijk ik niet... Wat ze in Amerika van mij kunnen weten, daar lig ik niet wakker van. Wat de buurman of regering hier te weten kan komen via mijn provider, daar lig ik wel wakker van..

Crahsystor @telenut • 23 augustus 2020 02:35

Zoek voor de grap eens op uitwisselen van inlichtingen tussen inlichtingsdiensten internationaal. Wees niet verrast als je er achter komt dat wij op de VS markt verzamelen en zij andersom en er dan resultaten uitgewisseld worden. Het zou namelijk immoreel zijn om zelf op grote schaal je eigen bevolking te bespioneren. Maar data van een bevriende mogendheid gebruiken is natuurlijk prima.

Het probleem is wat mij betreft meer dat er zo eenvoudig op grote schaal en permanent gegevens verzameld kunnen worden door een enkele partij (overheid) of een handvol bedrijven. En dat dit op een ieder moment als drukmiddel of wapen ingezet kan worden. Want ja, publieke opinie aanpassen is absoluut een wapen. De geschiedenis staat er bol van. Van religieuze berichten omzetten in opstanden en oorlogen, tot het zwartmaken van en merknaam om een concurrent uit de markt te drukken of een merk van een (terecht) schandaal te laten herstellen. DOH doet niets om dat risico te beperken, maar wel een heleboel om het een nog groter te maken.

GekkePrutser

Microsoft Edge

@Zer0 • 21 augustus 2020 20:53

Zelfs Quad9? Daar heb ik toch wel redelijk vertrouwen in. Het zou wel mooi zijn als OpenDNS er bij komt ja.

En de meeste mensen zitten bij Ziggo e.d. ivm gebrek aan beter, dan zou ik zeker meer vertrouwen hebben in Quad9

Ik zit zelf bij Orange Spanje.

Maargoed je kan het gewoon uitzetten als je wil.

blaatenator @GekkePrutser • 22 augustus 2020 11:01

OpenDNS is tegenwoordig van Cisco en het is wel duidelijk hoe die denken over samenwerking met de inlichtingendiensten.

skunkopaat @blaatenator • 22 augustus 2020 18:41

Heb je daar misschien een bron voor, of doel je op de switches die onderschept waren in de VS?

Oprechte vraag hoor, want ik heb niet het idee dat Cisco per definitie samenwerkt met inlichtingendiensten

Crahsystor @skunkopaat • 23 augustus 2020 02:47

Cisco zit in de VS in belangrijke netwerken, Patriot Act en FISA. Dus ja, Cisco werkt per definitie samen met inlichtingendiensten. Iets anders geloven is gevaarlijk naïef. Het gaat namelijk uit van een vertekend beeld van machtshebbers die regelmatig over lijken gaan voor allerhande voordeeltjes. Bijvoorbeeld oorlogen sponsoren, starten, rekken. En dat zijn lang niet altijd de bekende staatshoofden, die dat doen.
Of ze bij Cisco daar graag en volledig mee samenwerken is wat mij betreft veel interessanter, maar denk ik niet achterhaalbaar op een betrouwbare manier.

Immutable @Zer0 • 22 augustus 2020 10:52

Probleem is dat we een oplossing moeten krijgen, waarbij "vertrouwen" niet nodig is. Maar dat we fundamenteel weten dat het goed zit. Gewoon wiskundig bewezen theoretisch veilig.

Z80 @GekkePrutser • 21 augustus 2020 21:18

kunnen maar niet mogen.
je data naar de VS sturen. die wel in deze data mag grabbelen vind je een goed idee?

GekkePrutser

Microsoft Edge

@Z80 • 21 augustus 2020 21:23

Ziggo die in het grootste deel van Nederland een monopolie heeft op snel internet is voor de ene helft van Liberty Global en dat is net zo goed een Amerikaans bedrijf, en de andere helft van Vodafone dat onder het VK valt. Beiden niet geweldig voor privacy. We weten sinds Snowden hoe goed die landen zich aan hun eigen wetten houden, laat staan de onze.

Dus ik ga ervan uit dat de Amerikaanse overheid altijd wel meekijkt. Quad9 vertrouw ik nog het meeste ivm hun uitingen, maar dat is maar een gevoel.

Eigenlijk vind ik het allemaal vrij shit tegenwoordig. Lood om oud ijzer. Ik voel me altijd bekeken op internet en overal. Het wordt tijd voor een serieus P2P internet.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 18:51]

orvintax @GekkePrutser • 22 augustus 2020 18:20

Het wordt tijd voor een serieus P2P internet.

Misschien samen met middle-out combineren ?

Verwijderd @GekkePrutser • 22 augustus 2020 13:47

Dat vind ik dan weer zo'n rare redenering: Google of CloudFlare die je internet-verkeer afluisteren vind je geen probleem, maar je eigen provider wel? Waarom heb je meer vertrouwen in tech-bedrijven die al een geschiedenis hebben van het niet al te nauw nemen met privacy?

En wil hiermee niet zeggen dat afluisteren door je provider dan minder erg of zo. Ik snap gewoon niet dat mensen het ene minder erg vinden dan het andere, en ben echt benieuwd naar de gedachtengang hierachter.

GekkePrutser

Microsoft Edge

@Verwijderd • 22 augustus 2020 15:07

Ik zou dan ook geen Google of CloudFlare gebruiken natuurlijk! Maar Quad9.

En mijn eigen provider heeft bovendien meer koppeling met mijn echte identitieit... Zij weten bij wie welk dynamisch IP hoort en welke NAW gegevens daarbij horen.

[Reactie gewijzigd door GekkePrutser op 22 juli 2024 18:51]

musiman

@GekkePrutser • 22 augustus 2020 22:22

Cloudflare belooft ook privacy. Lees dit maar dat vanuit hun voorwaarden is gekopieerd.

Public DNS Resolver Users
Limited DNS query data: We will collect limited DNS query data that is sent to our 1.1.1.1 resolver. Our 1.1.1.1 resolver service does not log personal data, and the bulk of the limited non-personally identifiable query data is only stored for 25 hours. You can learn more about our 1.1.1.1 resolver commitment to privacy here.
Please note that our data handling practices for our 1.1.1.1 Application, which is not covered by this Policy, are somewhat different than our 1.1.1.1 resolver data handling practices and are described here.

klakkie.57th @musiman • 23 augustus 2020 01:03

Cloudflare is (als ik me niet vergis) wederom een Amerikaans bedrijf. Beloftes ivm privacy zijn niets waard die vallen gewoon onder de FISA wetgeving. Dat is net waar Het europees hof onlangs uitspraak heeft over gedaan. Er zijn nl. geen afdoende garanties dat europese burgers beschermd worden.

1superheld @bartje • 21 augustus 2020 18:33

Zoals in het artikel staat, dit wordt ook geïmplementeerd in Windows 10, in de laatste windows developer insider versie werkt dit ook best goed. Maar ik denk dat het nog wel even duurt voordat dit de stable versie enabled wordt. Tot die tijd kunnen ze denk ik mooi het werk wat in Chromium gebeurd enablen (en zorgen dat DNS providers naast "the big ones" ook DoH/DoT gaan ondersteunen).

End goal is wel het te enablen op OS niveau.

Sandor_Clegane @1superheld • 21 augustus 2020 18:38

Gewoon het hele idee van een OS level functie af te laten handelen in de browser is volgens mij redelijk dom. Doe je name resolution dan doe je dat via het OS, anders heb je straks weer allerlei handel waarin je via de CMD een nslookup doet en dat strookt weer niet met wat je browser toont omdat deze een andere DNS provider gebruikt. Allemaal weer lekker diffuus.

En dit alleen maar omdat ze gewoon overal geld aan willen verdienen. Het is echt om moe van te worden.

tonkie_67 @Sandor_Clegane • 21 augustus 2020 19:35

Resolving via OS zou idd goed idee zijn als je alle resolving via de DoH servers zou willen laten uitvoeren: maar in veel omgevingen is dat niet gewenst of mogelijk en is het enkel belangrijk bij het browsen: dus dan is het prima om het op browsernivo te doen.
Een Windows domain steunt zwaar op DNS en als voor alle domain oriented dns acties alle requests eerst naar een externe DoH server gestuurd moeten worden en bij uitblijven van een reply of een onbruikbare reply het vervolgens op de lokaal ingestelde dns server te proberen lijkt me ook niet handig.
Natuurlijk kan je op OS nivo een filter instellen dat bepaald type requests naar een lokale server gestuurd moeten worden en andere naar DoH maar door het op browser nivo te doen voorkom je veel van die problemen.
Zie de nadelen van afhandeling op browsernivo; zeker niet in vergelijking met de issues die je krijgt als je het op os nivo gaat doen. Uiteraard zijn die problemen betrekkelijk eenvoudig op te lossen, maar wat is de winst? Wat is het grote voordeel om dit op os nivo te doen?

Sandor_Clegane @tonkie_67 • 21 augustus 2020 19:43

Zorg dat de populaire DNS server implementaties dit praten en je bent klaar. Ik snap ook niet dat ze dit niet gewoon gelijktijdig hebben kunnen pushen of in ieder geval de uitrol enigszins gelijktijdig hebben gedaan. Blijkbaar zijn er wel DNS servers die het aankunnen. Je Windows domain zal het gewoon voor je forwarden en dat is hoe je het wilt hebben lijkt me. Alle DNS caching heb je nu ook niets meer aan.

Komt nog eens bij dat mijn DNS instellingen achter een SUDO of een UAC prompt zitten en de "about:config" gewoon in user space draait.

Zer0 @Sandor_Clegane • 21 augustus 2020 20:20

Komt nog eens bij dat mijn DNS instellingen achter een SUDO of een UAC prompt zitten en de "about:config" gewoon in user space draait.

Dat heeft een reden.... de enterprise admins willen dat je van hun DNS gebruik maakt, waar ze controle over hebben, op kunnen filteren etc. Nu moeten er weer extra maatregelen genomen worden om te voorkomen dat browsers dit met behulp van DoH omzeilen.

Sandor_Clegane @Zer0 • 21 augustus 2020 21:27

Ik bedoel meer dat niet elke malware wat in userspace draait mijn DNS instellingen kan aanpassen.

tonkie_67 @Sandor_Clegane • 21 augustus 2020 20:02

Het is niet altijd (alleen) je windows domain - genoeg enterprise omgevingen waar meerdere domeinen gekoppeld zijn: dus alleen je (eigen) domein forwarden zal de truc niet doen.
Kan je inderdaad wel ervoor zorgen dat iedereen zijn eigen DoH server kan draaien maar dan kan jouw ISP in veel gevallen weer jouw primary dns zijn en weer je surfgedrag bijhouden en reclame erop afstemmen. (Voor de wat meer technisch onderlegde kan die wel een eigen keuze dns kiezen en stuk lastiger voor de isp om dat te onderscheppen omdat het standaard https is en dus niet eenvoudig te filteren of redirecten wat met dns wel kan)
Dus ja: als er DoH servers beschikbaar zijn die al je interne dns verkeer kunnen afhandelen dan kan je dit naar os nivo tillen; maar zolang dat er niet is en de grootste toepassingen zich richten op het meer prive houden van surfgedrag is imho implementatie id browser een goed te verdedigen oplossing. En er zijn vast tools (of anders te ontwikkelen als je dat wil) die het mogelijk maken om het ook in je os beschikbaar te hebben. Of je zet het in je lan overal uit en hebt dan 1 plek (evt icm je NAT box) die alle plaintxt dns omzet in DoH (of DoS) naar buiten toe: dan heb je het helemaal zelf in de hand...

1superheld @Sandor_Clegane • 21 augustus 2020 18:54

Als het goed is respecteert (by default, iig, het is nu te overschrijven) de browser je DNS server instellingen.

Net zoals wanneer je DoH enabled op de laatste Fast insider builds, alleen DoH ingesteld wordt als het een "bekend DoH" ip is (Ofwel Google/Cloudflare en nog 1/2 andere dacht ik).

Sandor_Clegane @1superheld • 21 augustus 2020 19:01

Die hele logica moet gewoon niet in de browser.... Het is weer een codepath... Het is weer complexiteit voor iets wat eigenlijk geen probleem hoeft/hoort te zijn. Het is weer iets dat onderhouden moet worden.

Ik zit nu al wachten wanneer de eerste malware uitkomt, die de DNS van de browser naar een andere DNS server zet en dan mensen gewoon naar rabobank.nl leidt zonder dat ze door hebben dat het een hele andere site is. Phishing on steroids.

1superheld @Sandor_Clegane • 21 augustus 2020 19:07

DNS in je browser zie ik ook niet als een ideale situatie, maar JUIST omdat Google/Mozilla DoH/DoT aan het "pushen" zijn, (En voor Microsoft dit nu "eenvoudig" te enablen is in Edgeium) komt dit nu in Windows, gaat Apple dit introduceren met iOS 14, heeft Android dit in Android 9/10 (Not sure which one).

Het was gewoon nodig om uiteindelijk alles door het OS af te laten handelen en dan kan al die code "weggegooid" worden met de gedachte ("omdat wij dit gemaakt hebben, zit dit nu standaard in het OS").
Is dit de meest efficiente solution? Nee, maar soms moeten er een kleine stap gezet worden om de support te kunnen krijgen er verder mee te gaan.

Sandor_Clegane @1superheld • 21 augustus 2020 19:32

En toch is het niet de juiste manier, het speelt al tijden. En dat weggooien dat ken ik wel van andere IT projecten. Niet dus.

1superheld @Sandor_Clegane • 21 augustus 2020 19:34

Offtopic: Er zijn genoeg (overheids)projecten die tussentijds weggegooid worden

Ik denk dat de innovatie/progressie hier toch gewoon even voorloopt op de "Juiste" manier.

wica @1superheld • 21 augustus 2020 18:46

Zo'n 2 jaar geleden. Was xs4all aan het testen met DoT, kreeg van de beheerder daar de vraag wat voor spul ik draaide. Omdat mijn router de eerste was die er direct gebruik van maakte.
Onder linux werkt DoT dus al prefect.

L0g0ff

@bartje • 21 augustus 2020 18:40

Zou dit niet beter op OS level kunnen?

Ja voor jouw thuis netwerk zeker. Mits je geen eigen dns als pihole oid draait.

Voor zakelijke netwerken is dit echt een no-go. Ik moet er niet aan denken dat de dns ineens niet naar mijn lokale dns meer wijst. Dan is echt alles kapot.

Active directory, (interne) webapplicaties, voip, exchange, etc.

[Reactie gewijzigd door L0g0ff op 22 juli 2024 18:51]

wica @L0g0ff • 21 augustus 2020 18:48

Wat wilt pihole doen, met een HTTPS verbinding i.c.m. TLS 1.3?
Dit is ook direct het bezwaar tegen DoH, elk programma kan zijn eigen DoH server gebruiken. Zonder dat je dat in je netwerk kan ontdekken.

lenwar

Dns
Beveiliging en antivirus

@L0g0ff • 22 augustus 2020 09:31

Ik gebruik thuis Adguard Home als advertentieblokkeer-dns-server. Adguard home is ook gewoon een DoT/DoH server. Mijn internetverkenner praat dus met DoH met AGH, die vervolgens weer DoH met Cloudflare praat (in mijn geval).
Ik heb een certificaat van Letsencrypt in mijn lokale netwerk. Dat certificaat wordt middels DNS-Challenge aangevraagd. Mijn interne url is dus niet beschikbaar op internet.

(ik heb dus iets als router.thuis.mijndomein.nl in m'n lokale dns-server staan met een certificaat, maar die naam bestaat niet op internet)

Voor zakelijke netwerken kan je ook een dergelijke constructie maken, maar dan met je interne ca. Als je intern geen DoH of DoT wilt of kan gebruiken blokkeer je het middels je policies.

1superheld @L0g0ff • 21 augustus 2020 19:10

DoH/DoT betekend niet dat dit niet meer intern supported wordt! Straks gaan alle interne DNS servers ook DoH/DoT supporten en is iedereen blij

Mijzelf @1superheld • 21 augustus 2020 19:21

Ja? Hoe dan? Voor een interne server is het nogal lastig een certificaat te krijgen.

1superheld @Mijzelf • 21 augustus 2020 19:31

"Straks" wordt het automatisch gedaan.

Maar als je momenteel Windows gebruikt kan je zelf een certificaat generen (Self Signed) en via AD uit laten rollen, werkt het in alle browsers. ( Alleen FireFox die moeilijk kan doen omdat ze hun eigen certificate storage gebruiken).

beerse @Mijzelf • 21 augustus 2020 21:37

Op je interne netwerk heb je als het goed is ook een interne ca. Daar haal je het certificaat voor intern gebruik.
In de meeste gevalken een selfsigned ca maar dat moet goed genoeg zijn.

tonkie_67 @L0g0ff • 21 augustus 2020 19:40

Ah... zie dat mijn reactie rijkelijk laat is; maar zag deze post pas nadat ik mijn reactie verstuurd had terwijl timestamp laat zien dat deze reactie er al lang en breed stond.. blijkbaar niet goed doorgelezen voordat ik postte

wica @bartje • 21 augustus 2020 18:34

Standaard staat die op "'huidige serviceprovider', als deze geen DoH ondersteund, wordt er geen DoH gebruikt. Dat is wat ik uit het plaatje haal. Dus de DNS instellingen die je via dhcp krijgt of zelf hebt ingesteld in je O.S.

Maar ik ben het wel met je eens, dat dit in het O.S. thuis hoort en niet elke applicatie zijn eigen instellingen zou moeten hebben.

1superheld 21 augustus 2020 18:30

Microsoft is goed bezig met de nieuwe Edge (Edgium

)!

Ben zelf ook wel fan van DoH/DoT i.c.m. nextdns.io als resolver (vergelik het met een maanged pihole) en maak op zoveel mogelijk plekken gebruik van DoH/DoT (Op Android Native, Windows Insider Native en op de laatste 'live' Windows yogadns.com

latka @1superheld • 21 augustus 2020 18:36

Waarom ben je fan? Ik heb een lokale DNS draaien dus ik kan me niet voorstellen dat ik hier beter van wordt qua performance. DNS mitm aanvallen geloof ik niet zo in voor de bulk van de gebruikers en privacy vraag ik me af omdat je uiteindelijk toch naar een ip adres gaat en van oudsher was sni een probleem, dus was er maar 1 SSL site per ip.

CAPSLOCK2000

Beveiliging en antivirus
Dns

@latka • 21 augustus 2020 20:23

Waarom ben je fan? Ik heb een lokale DNS draaien dus ik kan me niet voorstellen dat ik hier beter van wordt qua performance.

Voor de performance moet je het inderdaad niet doen, al gaat het best rap met nieuwste versies van http.

DNS mitm aanvallen geloof ik niet zo in voor de bulk van de gebruikers

Tegen mitm is DNSSEC ook beter omdat dat een groter deel van het pad beschermt en kan bewijzen dat er iets mis is.

en privacy vraag ik me af omdat je uiteindelijk toch naar een ip adres gaat en

Het klopt dat je uit de ip-adressen al veel kan afleiden, maar door het toenemend gebruik van cloud-applicaties wordt het wel steeds moeilijker. Als je een IP uit de Amazon cloud ziet weet je nog niks.

DoH (of DoT, waar ik de voorkeur aan geef) is niet perfect, maar als je het goed gebruikt kan het privacy toevoegen. Ik ben blij met extra gereedschap, ook al lost het niet alle problemen op. Goede beveiliging bestaat uit lagen van elkaar overlappende en aanvullende middelen. Ik zie dit al s een mooie aanvulling.

van oudsher was sni een probleem, dus was er maar 1 SSL site per ip.

Dat probleem is gelukkig opgelost, systemen die geen SNI meer ondersteunen kun je over het algemeen negeren, die zijn zo oud dat ze toch niet meer geschikt zijn voor het moderne web.

latka @CAPSLOCK2000 • 21 augustus 2020 22:59

Niet helemaal, pas met TLS 1.3 is het niet meer mogelijk de host te sniffen uit de handshake afaik.

1superheld @latka • 21 augustus 2020 19:02

Volgens mij kan ik hier kort op zijn, als we alleen het stukje DNS bekijken en wat daar gebeurd dan is DoH/DoT in per definitie beter dan normale DNS. (Misschien niet perfect, maar een stuk beter).

Dan is de keuze om DoH/DoT te enablen toch vrij makkelijk als je daarvoor ook geen performance hits ervaart?

Andere onderdelen die privacy verbeteren, zijn die er, dan ga ik die ook afwegen om te enablen

kodak

Beveiliging en antivirus

@1superheld • 22 augustus 2020 13:14

DoH/DoT in per definitie beter dan normale DNS

Er is geen definitie van beter of slechter tussen DNS en DoH.
Zowel DNS als DoH hebben hun eigen voor en nadelen. Die vallen niet makkelijk met elkaar te vergelijken, dat hangt van de gebruikssituatie en de eisen en wensen af. Ook niet door de uitleg te versimpelen of alleen naar bepaalde onderdelen te willen kijken. Dat maakt de keuze misschien makkelijker maar zorgt er nog niet voor dat het werkelijk beter (of slechter) is. Waarschijnlijk is het dan vooral beter voor bepaalde situaties of bedrijven. Of je nu DNS of DoH gebruikt.

jaenster

21 augustus 2020 18:40

Ik vertrouw mijn provider toch echt een stuk meer dan enige publieke dns server.

Overigens snap ik dat dit wel een ding is in de usa, waar dit soort data willen koppelen aan persoonlijke reclame. Maar in Nederland zijn ISP's toch best netjes en houden zich aan de regels. Waarom word tegenwoordig alles gemaakt voor de americaanse markt?

Verwijderd @jaenster • 21 augustus 2020 22:18

Ik vertrouw mijn provider toch echt een stuk meer dan enige publieke dns server.
Korte vraag: waarom?

Een DNS provider als Cloudflare maakt een publiek statement dat ze niets met je data doen maar dat heb ik eigenlijk nog nooit van een Nederlandse ISP gehoord. Nu zal het wel bij wet zijn vastgelegd maar ik durf te wedden dat als dit in Nederland zou mogen, KPN en Vodafone vooraan staan om te ‘experimenteren’ met deze zaken om ‘betere en klantgerichte aanbiedingen te kunnen faciliteren waar klanten al jaren om vragen’.

Gewoon je eigen DNS server draaien is volgens mij nog steeds het beste...

dmantione @Verwijderd • 22 augustus 2020 01:16

Vrij eenvoudig: Mijn internetaanbieder is voor zijn broodwinning van mij afhankelijk en heeft er dus alle belang bij mijn privacy goed te regelen. Bedrijven die gratis internetdiensten aanbieden zijn voor hun broodwinning afhankelijk van het schenden van je privacy. Dan weet ik wel.

Verwijderd @dmantione • 22 augustus 2020 13:28

Ik zou er niet zomaar van uitgaan dat als je ergens voor betaald, dat er niet andere inkomsten geworven worden. Het is een bedrijf en een bedrijf heeft maar 1 doelstelling: winst maken.

In de US betaal je ook gewoon voor je internet maar daar verkopen ze gebruikersgegevens gewoon door. Waarom? Omdat het kan en je maakt meer winst. Iedere app op je telefoon (betaald of niet) verzameld allerlei data en de bedrijven die deze apps maken houden zich lang niet altijd aan privacy voorwaarden. Apple gaat hier zelfs labels voor invoeren: nieuws: Apple gaat privacylabels tonen bij apps

dmantione @Verwijderd • 22 augustus 2020 13:34

Dat zeg ik ook niet, ik zou zeker niet naïef zijn. Als een aanbieder op een andere manier inkomsten werft, moet je dat meenemen in je keus voor een aanbieder. Zeker is wel dat die financiële afhankelijkheid helpt de belangen van de commerciële partij in lijn met je eigen belangen te brengen.

Verwijderd @dmantione • 22 augustus 2020 13:39

Zeker is wel dat die financiële afhankelijkheid helpt de belangen van de commerciële partij in lijn met je eigen belangen te brengen.

Niet bij de ISP waar ik heb gewerkt

.. Niet dat ze er misbruik van maakten maar logging staat overal aan en niemand interesseerde het echt. Als de directie die gegevens kon verkopen dan zouden ze er geen seconde over nadenken: free money!

Dat was ook wel meer dan 5 jaar geleden maar ik geloof niet dat de sfeer daar is veranderd.

NielsFL @Verwijderd • 22 augustus 2020 09:44

Probleem is dat CloudFlare dat vandaag roept. Maar als Bezos het interessant informatie vind dan koopt hij ze morgen op en past de voorwaarden aan.

Inmiddels loopt dan wel de halve wereld via CloudFlare DNS. (Om het maar niet te hebben over de SSL terminatie van dat soort CDN diensten.)

DoH is prima. Maar kiezen uit zo’n klein lijstje aanbieders echt niet. Dat maakt deze partijen veel te interessant voor kwaadwillenden.

Verwijderd @NielsFL • 22 augustus 2020 13:34

Probleem is dat CloudFlare dat vandaag roept. Maar als Bezos het interessant informatie vind dan koopt hij ze morgen op en past de voorwaarden aan.

Tja, maar dat probleem heb je bij iedereen. Xs4all bestaat ook al bijna niet meer. Die streefden voor privacy, hoeveel denk je dat daar van over is bij KPN?

Mijn punt is dat je externe partijen gewoon niet moet vertrouwen want je weet het gewoon niet. Je kunt niet even in hun 'keuken' kijken en ik heb nog nooit een persbericht gezien (anders dan xs4all) van een Nederlandse provider die zegt: 'Hey, wij zijn consument vriendelijk en wij loggen niets in onze dns servers of kijken niet mee met wat er allemaal door onze internet knooppunten lopen'.

Cloudflare is er ten minste open over en heeft iets te verliezen als het niet waar blijkt te zijn. Jouw ISP zegt helemaal niet en is ook niet transparant en als het blijkt dat ze iets fout doen dan is er niemand die ze daarover op de vinger tikt...

kodak

Beveiliging en antivirus

@Verwijderd • 22 augustus 2020 12:21

Je vraag kan je beter omdraaien. Waarom zou je een bedrijf uit de VS, dat geen duidelijke relatie met jou heeft en bijna niets met jou wetgeving te maken heeft, meer vertrouwen op basis van een publiek statement dan je eigen ISP in je eigen land en waar je wel een duidelijke relatie mee hebt?
Elk bedrijf kan namelijk wel een publiek statement maken. Dat wil nog niet zeggen dat de inhoud dus relevant is of dat je er meer op kan vertrouwen dan een gebrek aan een statement van bedrijven waar je werkelijk klant bent. DoH is niet te beschouwen als een situatie waarbij een bedrijf een bewering doet en er actief mee bezig is dus het beste met je voor heeft en een bedrijf dat er nauwelijks iets mee doet en er geen statements over doet dus niet het beste met je voor heeft. Als jij je ISP niet kan vertrouwen omdat ze iets niet zeggen en omdat je er nu al vanuit gaat dat ze iets zouden doen wat je niet bevalt dan is het probleem misschien niet die ISPs.

wica @jaenster • 21 augustus 2020 18:58

Omdat Amerika de norm is?
Het moraal van Amerika is zelfs een export product geworden, wat een directe bedreiging is voor vele culturen.

Serieus antwoord. In al hun wijsheid. Kunnen de tech reuzen geen regionaal beleid toepassen op hun site.

Sebazzz

@wica • 21 augustus 2020 19:39

Amerikanen denken naar mijn ervaring ook wel vaak dat de wereld om hun land draait. Dat is niet gek, patriotism wordt met de paplepel ingegoten. Dat is hetzelfde patriotism waar Trump van gebruik heeft gemaakt bij de verkiezingen.

Voor wie overigens DNS over HTTPS op zijn (bedrijfs)netwerk wilt uitzetten, kan je je (lokale) DNS server het volgende adres laten resolven: use-application-dns.net.

Z80 @Sebazzz • 21 augustus 2020 21:13

werkt dit altijd? is dit de standaard voor alle software? of enkel bij mozilla.
dit is Microsoft.

CAPSLOCK2000

Beveiliging en antivirus
Dns

@jaenster • 21 augustus 2020 20:06

Ik vertrouw mijn provider toch echt een stuk meer dan enige publieke dns server.

Je kan dns-over-https ook met je eigen provider gebruiken.
Ik weet niet wat die default 'Use current service provider' precies doet, maar het zou kunnen betekenen dat de browser probeert om DoH te spreken met DNS-servers van je provider.

erwinb @jaenster • 21 augustus 2020 20:41

DoH versleuteld toch alleen het verkeer tussen de cliënt en de dns server?
Als je dan een US based DoH server gebruikt, dan weet deze dns provider en ieder ander die invloed heeft op de DoH provider nog steeds waar jij heen gaat.
Ik prefereer daarom mijn eigen dns server.

beerse @erwinb • 21 augustus 2020 21:29

Het gaat niet om het versleutelen maar om het ontwijken van je eigen dns configuratie en voor alle http en https verkeer de doh provider gebruiken.
Dat wil dis zeggen dat je eigen dns op je eigen raspberrypi met je eigen white en black lijsten niet worden gebruikt maar google of cloudfair dns inclusief alle reclame en andere zooi.

dmantione @erwinb • 22 augustus 2020 01:14

http is een protocol waarbij nogal niet wat metadata meegestuurd wordt, het doet dus veel meer dan alleen het verkeer versleutelen.

catfish @jaenster • 22 augustus 2020 08:41

Het is je misschien nog niet opgevallen, maar zowel Google, Mozilla als Microsoft zijn Amerikaanse bedrijven. Waarom zouden ze het niet maken voor de Amerikaanse markt?

bakkerl 21 augustus 2020 19:14

Nog even en PiHole gaat ook als SSL proxy werken. Dat wordt dan weer kloten met certificaten om die op alle benodigde apparaten te installeren...

Sandor_Clegane @bakkerl • 21 augustus 2020 19:21

Voor dit scenario gebruik ik een Nginx reverse proxy die SSL doet voor meerdere services. Scheelt een hoop geneuzel. Andere manier is om alles in containers te draaien en gewoon je certificaat op het host os te zetten en deze directory te mounten in alle containers. Scheelt ook een hoop werk.

Razwer @bakkerl • 21 augustus 2020 19:25

Er zijn veel mobiele apps die certificate pinning doen. Die gaan mooi niet werken in zo'n situatie. Zelfs outlook mobile (wat qua security absoluut brak is) naar o365 gaat stuk om die reden bij een MITM.

FreqAmsterdam @bakkerl • 22 augustus 2020 09:22

In theorie een leuk idee, in de praktijk echt vreselijk. Heb veel ervaring met DPI SSL, de praktijk is dat er gigantisch veel gewhitelist moet worden oa vanwege certificate pinning. Uiteindelijk gaat dan toch weer een relatief groot gedeelte van je SSL traffic ongefilterd door je firewall/pihole/whatever.

bakkerl @FreqAmsterdam • 23 augustus 2020 13:50

Van mij mag al het SSL verkeer er ongefilterd doorheen.
Alleen het DNS verkeer niet. Dat is waar PiHole voor is.

mutley69 21 augustus 2020 21:31

Dns over Https is een grote dwaasheid - verplicht DNS over TLS - dat is tenminste veilig, kan je beheren en beheersen. Dit gaat voor een explosie aan nog meer malware zorgen! Een dwaasheid van formaat - en dat voor een bedrijf zoals Microsoft - hebben ze nu echt niets geleerd?

lenwar

Dns
Beveiliging en antivirus

@mutley69 • 22 augustus 2020 09:50

Waarom zou je DoH niet kunnen beheren of beheersen? Met transparante proxies kan je al het verkeer op bijvoorbeeld poort 443 ontsleutelen en controleren. Dit is wat grote bedrijven doen.

Als het gaat om particulieren zou een willekeurig stuk malware ook een voorbereidde dns-server (aldanniet versleutelt) op poort 12345 kunnen gebruiken, aangezien uitgaande firewalls veelal open staan.

syl765 @lenwar • 22 augustus 2020 11:26

Je zegt dit is wat grote bedrijven doen.

En hoe ga je als MKBer dit aanvliegen? Even duizenden Euro's er tegen aangooien omdat de browser fabrikanten vinden dat het (veiliger) moet. Nee de browser fabrikanten weten drommels goed dat dit voor de meeste een probleem is waar men niet omheen kan en het maar voor lief neemt. Het is frappant hoeveel macht de browser makers hebben en helaas zijn de meeste ook nog eens gebaat bij jou data.

DoH is iets waar we echt niet blij van hoeven te worden en zal voor heel veel problemen gaan zorgen waarbij vele bedrijven de handdoek in de ring zullen gooien en het maar over zich heen laten komen ondanks dat er echt wel alternatieven zijn voor een veilig DNS zoals DNS over TLS.

Ik hoop oprecht dat onze service providers dit ook inzien en DNS over TLS aan zullen bieden waarbij we keuze krijgen en niet gedrongen worden door de browser bouwers waar mijn DNS requests heen vliegen.

[Reactie gewijzigd door syl765 op 22 juli 2024 18:51]

lenwar

Dns
Beveiliging en antivirus

@syl765 • 22 augustus 2020 11:47

Nee, de mkbers zetten het uit middels policies als het een probleem voor hen is.

Wat maakt het volgens jou veiliger/beter om DoT te gebruiken. Dat is nog steeds versleutelt en als je er controle op wilt hebben moet je nog steeds zaken regelen. Alleen een poort dichtgooien lost niks op. Dan werkt het niet.

Een netgate met pfsense heb je voor nog geen 200 euro

syl765 @lenwar • 22 augustus 2020 12:43

DoT is je DNS verkeer versleutelt over de standaard poort. Ik kan kiezen welke DNS server ik gebruik en ik hoef mij geen zorgen te maken dat er software op mijn systemen staat die ergens anders hun data vandaan halen en mijn DNS verkeer gaat niet plain tekst over het grote boze internet.

Stel we gaan alles over HTTPS doen, mail, DNS, SSH, en noem het maar op, dan wordt het er echt niet makkelijker op om de boel te beheren.

Mijn grootste bezwaar is dat je geen controle meer hebt over waar je browser zijn requests doet.
Dat is nu mooi te controleren via je systeem DNS settings. Als de browser dit standaard gaan doorvoeren dan weet je het niet meer. En blijft de setting standaard disabled bij een update, of gaat bij een update het vinkje plotseling weer uit. Oeps foutje, maar we hebben weer twee weken extra data.
en zijn alle browsers via een policy te beheren?

Nogmaals, DoH is geen oplossing voor een probleem dat prima op een andere manier opgelost kan worden net als smtp, imap, pop3 en al die andere protocollen die TLS hebben kunnen implementeren op hun default poort waardoor er een mooie scheiding blijft en je zelf de controle niet verliest.

lenwar

Dns
Beveiliging en antivirus

@syl765 • 22 augustus 2020 13:53

Maar dat staat wat mij betreft los van elkaar. Of m'n browser nou DoH, DoT, DoD of platte DNS gebruikt, maakt hoe de beheersbaarheid niets uit. Je zou hooguit hard in een firewall kunnen zetten : poort X alleen naar ip adres xyz open, maar er is niets dat een apparaat z'n eigen instellingen hard op poort 54321 gebruikt.

Als we alles over https doet, gaat alles maar naar één centraal punt, wat juist een groot voordeel heeft, je kan namelijk een appliance die het verkeer controleert en doorstuurt (of filtert) inzetten. Je versimpeld het punt van controle. Het is alleen anders dan we nu gewend zijn.

Ik ben het met je eens dat ik het een beter idee vindt als het OS het doet, ipv een applicatie. Al is het maar om te voorkomen dat server A een ander antwoord geeft dan server B.
De internetverkenners die ik ken die DoH gebruiken (Firefox en Edge nu dus) zijn beide met policies te beheersen. Helaas beiden op een andere manier.

Je zou het dus geen probleem vinden als DoH over poort 53 zou gaan? (los van de toegevoegde complexiteit aan de server kant)

Het idee om het ook over poort 443 te laten lopen is juist om het dns-verkeer te 'verstoppen' tussen het reguliere https-verkeer voor bijvoorbeeld je ISP) (los van of je dat nuttig vindt of niet)

syl765 @lenwar • 22 augustus 2020 15:46

`Het idee om het ook over poort 443 te laten lopen is juist om het dns-verkeer te 'verstoppen' tussen het reguliere https-verkeer voor bijvoorbeeld je ISP) (los van of je dat nuttig vindt of niet)`

En dat is dus ook 1 van de problemen, ik kan niet meer in mijn firewall IP adresen gaan blokkeren op basis van protocol https op poort 443.
Normaal is poort 443 versleutelt http verkeer, nu zit er dus ook DNS verkeer tussen, je kan niet meer op IP basis zaken blokkeren. Ik wil wel van dat IP adres DNS verkeer maar geen HTTPS verkeer, die twee zijn nu met elkaar verstrengeld.

Als DNS over poort 53 gebruik wil maken van HTTPS en gewoon kan babbelen met de DNS servers die ik configureer via mijn /etc/resolv.conf file dan heb ik er geen moeite mee, graag zelfs als mijn DNS verkeer encrypt is.

Maar ga niet als browser mijn ingestelde DNS servers omzeilen en standaard een DNS server van goolge, cloudflare of Microsoft kiezen. Dit is niet voor jou en mijn veiligheid dit is om dat laatste beetje data ook bij de gemiddelde gebruiker vandaan te halen.

Je geeft aan dat als we alles op basis van HTTPS doen dat dit zaken versimpelt. Ik zie dit toch anders. Je moet nu verkeer al toelaten en het verkeer gaan analyseren opdat het ook klopt, waar ik voorheen gewoon keihard kan zeggen, smtp verkeer van IP adres xx.xx.xxx.xx komt er niet in. Met alles over HTTPS moet ik verkeer van xx.xx.xxx.xx toelaten, decrypten kijken wat het doet om dan te zeggen nee.
Dat kost veel meer tijd en zet zaken nodeloos open.

akooijman @mutley69 • 22 augustus 2020 07:54

Ze leren steeds beter hoe ze data van argeloze computergebruikers in geld kunnen omzetten.

Relief2009 @akooijman • 23 augustus 2020 12:26

Ter info: Microsoft heeft geen eigen DNS dienst

Dus snap niet zo goed hoe je geld kunt verdienen aan iets wat je zelf niet aanbied.

akooijman @Relief2009 • 23 augustus 2020 16:53

Laat dat maar aan 'de markt' over, toch?

SherlockHolmes 21 augustus 2020 18:28

Als je even snel meerdere scenario's wil checken lijkt me dit een mooie oplossing.

Dit is een reactie op @bartje

[Reactie gewijzigd door SherlockHolmes op 22 juli 2024 18:51]

Sandor_Clegane @SherlockHolmes • 21 augustus 2020 18:40

Gebruik gewoon de hosts file.... werkt al sinds de jaren 70 en kun je gewoon met een text editor wijzigen.

BlaTieBla @Sandor_Clegane • 21 augustus 2020 19:03

Inderdaad. Als een IP adres wijzigt (of onbekend is) gewoon ff met een Tails Live CD er in gooien en verbinden via WiFI van de buren om het juiste iP adres te vinden via Tor en/of anonymisers.
Hosts file aanpassen op de 'normale' PC om weer verder te kunnen. Ondertussen de Tails distri en gebruikte hardware ritueel verbranden om eventuele sporen te wissen.
[/sarcasm]

kodak

Beveiliging en antivirus

22 augustus 2020 14:33

Microsoft heeft met haar keuzes zo veel invloed op de gevolgen voor miljoenengebruikers dat ik liever had gezien dat ze gebruikers beter zouden informeren waarna de gebruikers dan zelf een keuze kunnen maken. Wat er met beveiliging te vaak gebeurt is dat invloedrijke organisaties wel even voor anderen de default/standaard bepalen die niet alleen positieve gevolgen voor miljoenen gebruikers heeft.

OMEGA_ReD 23 augustus 2020 22:27

Begrijp ik het goed dat de DPI functie van mijn Ubiqiti router stopt met werken als ik dns over https ga gebruiken?

Op dit item kan niet meer gereageerd worden.

Microsoft zet dns-over-https standaard aan in Canary-builds van Edge

Lees meer

Dns-over-https: vloek of zegen?

Reacties (96)

Sorteer op:

Weergave: