Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Mozilla begint consultatie voor implementatie van dns-over-https in Firefox

Mozilla gaat een onderzoek houden onder gebruikers naar het gebruik van dns-over-https in de browser Firefox. Gebruikers kunnen ideeën en voorstellen indienen over de implementatie daarvan. Met name de implementatie van DoH is vaak nog controversieel.

Gebruikers van de browser kunnen vanaf donderdag hun ideeën insturen door ze naar Mozilla te e-mailen. De consultatieperiode duurt 45 dagen, tot 4 januari volgend jaar. Mozilla zegt dat iedereen een beleidsvisie op mag sturen, zowel gebruikers als betrokken partijen. Het bedrijf heeft een lijst met vragen opgesteld waar het zelf specifiek antwoord op wil, bijvoorbeeld over de manier waarop dns-over-https wordt geïmplementeerd in een bedrijfsomgeving, en of gebruikers hun DoH-provider meer vertrouwen dan een isp. Het is niet verplicht die vragen te beantwoorden, maar die gaan wel over de belangrijkste obstakels rondom het onderwerp.

Bij dns-over-https worden queries naar het domain name system versleuteld met een https-verbinding. Dat is in theorie privacyvriendelijker, omdat providers bijvoorbeeld niet meer in plaintext kunnen zien waar een gebruiker naartoe surft. Van de andere kant wordt er bij de implementatie vaak gebruikgemaakt van een externe provider, bijvoorbeeld Cloudflare of Quad9. Dat zijn commerciële, Amerikaanse partijen met hun eigen verdienmodellen. Privacyexperts zijn daarom kritisch op de plannen.

Mozilla was vorig jaar de eerste grote aanbieder die dns-over-https introduceerde voor de browser. Daar kwam veel kritiek op, bijvoorbeeld van bedrijven die een eigen resolver draaiden en die werd overruled door Mozilla's implementatie met Cloudflare. Andere partijen, zoals Google en Microsoft, hebben dns-over-https ook aangezet in hun browsers en besturingssystemen, maar daarbij krijgen beheerders wel meer opties het uit te schakelen of te wijzigen. Mozilla wil nu ook horen hoe het dat proces beter kan maken voor zowel particuliere gebruikers als voor bedrijven.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur

19-11-2020 • 11:29

68 Linkedin

Reacties (68)

Wijzig sortering
Dns over https is hardstikke goed, in landen waar de provider niet word vertrouwd. Zoals in de USA waar je provider naar je surf gedrag kijkt voor reclame doeleinde.

Helaas word tegenwoordig alles gemaakt voor de americaanse markt, en wij laten dat ons maar gewoon overkomen. Fijn dat we bij firefox tenminste enige inspraak krijgen, al twijfel ik aan hoeveel waarden er word gehecht aan landen buiten de USA.
Maar met DoH gaat het verkeer naar Cloudflare of Google. Wat doen zij met die gegevens? De encryptie voorkomt dat de man-in-the-middle (de ISP) het verkeer kan zien, maar de DoH-provider (Cloudflare/Google) moet het verkeer wel kunnen zien om de dienst te leveren.

Ik heb zelf geen goed gevoel bij DoH, ik ben bang dat het misbruikt wordt om partijen die eigenlijk al te belangrijk zijn voor het internet (Google) nog meer informatie te geven, onder de noemer 'veiligheid' en 'privacy'. Daarnaast vind ik dat DNS een onderdeel moet zijn van het OS, en niet van de applicatie (de browser). De browser is immers niet de enige applicatie die DNS queries uitvoert.

Ik zou zelf veel liever zien DoT (DNS over TLS) van de grond komt, en jij als eindgebruiker zelf kan bepalen wie jouw DNS queries mag afhandelen. Wellicht moet ik dat aangeven bij de consultatie van Mozilla :) Goed van ze overigens dat ze deze consultatie doen.

[Reactie gewijzigd door zjeeraar84 op 19 november 2020 11:44]

Je kan ook een andere DoH provider kiezen als ik me niet vergis.

Als ik een Nederlandse provider zou kunnen toevoegen vind ik DoH geen probleem. Maar zie dan ook weinig verschil met gewone provider DNS.
Je kan inderdaad ook een custom dns server toevoegen. Enkel Cloudfare en NextDNS zijn door Firefox zelfs toegevoegd.

In de lijst van dnscrypt staan ook DoH servers, enkele in Nederland.
https://dnscrypt.info/public-servers

Met de dnscrypt proxy kan je zelfs meerdere dns servers instellen om je queries te verspreiden over meerdere dns servers.
Ook dat zou ik onwenselijk vinden, aangezien mijn pi-hole de DNS queries niet meer kan filteren van die browser
Technisch is er voor zover ik weet geen reden waarom pi-hole niet DoH zou kunnen ondersteunen natuurlijk. (Zowel als 'server' naar je computers/lokaal netwerk toe, als 'client' om de DNS queries uiteindelijk te resolven bij de DNS server van je keuze)
Pi-hole ondersteund dit inderdaad al. Mijn punt gaat meer over als Firefox als browser DoH gaat hanteren met verwijzing naar een andere DNS server dan mijn router. Dit zorgt er dan m.i. voor dat dit verkeer niet meer langs mijn pi-hole gaat.
Misschien eens naar AdGuard kijken? Die schijnt out-of-the-box al ondersteuning te hebben voor DNS-over-HTTPS, DNS-over-TLS en DNSCrypt (upstreams only).
Schijnt... :)
Zelfs voor inkomende DNS request ondersteund het DoH en DoT.

[Reactie gewijzigd door Shadow771 op 20 november 2020 09:23]

Precies. Als je eigen provider DoH toevoegt dan bied de encryptie eigenlijk geen meerwaarde meer. De vraag is dus eigenlijk: zijn Internet providers dan zo slecht dat we externe DNS servers moeten gebruiken?

Ongetwijfeld zijn er dubieuze providers in de wereld te vinden. Maar om dit dan ook default te willen maken in browsers gaat wel wat ver vind ik. Het is eigenlijk een veroordeling van alle ISP's. Wat vinden die van deze ontwikkeling?

Enfin, belangrijkste voor mij blijft dat dit niet in een browser thuishoort. Net als die eigen certificate-stores. Dergelijke zaken wil ik slechts eenmalig instellen voor al mijn apps, en dus via het besturingssysteem.

Maar vanuit browser-makers gezien snap ik het wel: hoe meer van dit soort fratsen je in een browsers stopt, hoe lastiger het wordt om even een andere browser uit te proberen. Het is een soort lock-in; niet met harde features, maar met "setup gedoe".
Het internet krijgt een steeds centraler karakter op deze manier. Op de zelfde manier dat mensen klakkeloos 8.8.8.8 als DNS server instellen omdat het zo makkelijk is.

DoH draagt niet bij aan een decentraal internet en daarom moeten we het niet willen.
DoH draagt niet bij aan een decentraal internet en daarom moeten we het niet willen.
Dat is niet correct. DoH is helemaal niet het probleem, het probleem is dat browsers standaard een DoH server gaan gebruiken en daardoor de standaard DNS server van het besturingssysteem omzeilen.
Het werkelijke probleem is dat de wereld wakker moet worden en moet gaan overstappen op het beveiligen van DNS, dus providers, besturingssystemen(voor zover dat al niet is), routers en andere apparatuur zodat DNS beveiliging de standaard wordt.
Eens. Het feit is nu echter dat browser makers standaard Google en CloudFlare opnemen. Technisch gezien kan DoH decentraal zijn, maar het gebeurd in de praktijk nu niet.
Uiteindelijk is DoH gewoon een DNS server en DNS is altijd al decentraal geweest.

Firefox is ermee begonnen omdat providers en sommige besturingssystemen achterbleven om DNS verkeer beveligd te laten verlopen. Uiteindelijk was het idee om DoH weer uit de browser te halen als het besturingssysteem het DNS verkeer beveiligd.
Maar intussen zijn andere browsers er ook mee gekomen, wellicht met andere doeleinden dan Firefox het ooit bedoeld heeft.
DoH gaat over het protocol, staat los van de aanbieder. Je kunt net als met ouderwetse DNS over UDP ook je eigen server of die van je ISP gebruiken.

Zie bijvoorbeeld binnen Mozilla Firefox, je kunt zelf bepalen welke DoH DNS server wordt gebruikt.

Voorbeeld van publieke non-profit DoH DNS server is Quad9.
https://www.quad9.net/doh-quad9-dns-servers/
Quad9 privacy beleid: https://www.quad9.net/home/privacy/
DoT en DoH zijn allebei belangrijk: DoH zorgt ervoor dat een mens veilig DNS queries naar een bepaalde server kan brengen, zonder dat een ISP of andere tussenhanger hier tussen kan komen. Het zit verborgen in HTTPS requests. Heel goed voor landen als China waar netneutraliteit niet bestaat. Nee het is geen magisch 'stay hidden' middel, omdat webverkeerd niet alles uit DNS-queries bestaat: De IP header zal altijd zichtbaar moeten zijn, anders weet een router niet waar het heen moet, ook logisch.

DoT is belangrijk voor network security omdat je incoming en outcoming DNS query's kan monitoren en blokkeren, ook als je de inhoud zelf niet kan lezen. Voor privacy is DoH natuurlijk superieur, omdat het verborgen zit in al het andere HTTPS verkeer: Moet je wel kunnen vertrouwen op de DNS server, maar dat is hetzelfde met DoT.

Wel is zo dat DoH een groot probleem creeert: Als een gebruiker DoH gebruikt moet je:

1) vertrouwen hebben in de DNS resolver
2) DNS security wordt omzeild omdat het geen DNS-verkeer meer is, maar HTTPS-verkeer met als inhoud een DNS-query. Hoe ga je zoiets blokkeren als alles encrypted is? Je kan er heel moeilijk achterkomen of het DNS-verkeer is of niet.

DoH is daardoor een no-go voor de enterprise sector, en zal door hopelijk elk IT admin via group policy geblokkeerd worden in browsers.

[Reactie gewijzigd door MrFax op 19 november 2020 16:51]

De Nederlandse providers kijken niet naar het surfgedrag?
Doen ze ook. Maar niet zoals Verizon of AT&T. KPN en Ziggo kijken of je niet naar PirateBay surft en een torrent binnen haalt of dat je binnen de 'fair use' policy blijft. Amerikaanse ISP doen aan meta data collecting zodat ze je targeted ads kunnen sturen.
Bron? Er wordt geblokkeerd maar actief monitoren is nieuw voor mij.
Exact. Alleen brein analyseert ip adressen om te kijken of hierdoor TBP wordt omzeild, die geven deze ip adressen dan door aan ISP om deze te blokkeren, hiervoor hoef je alleen de packet header te lezen, maar niet de inhoud.
"Amerikaanse ISP doen aan meta data collecting zodat ze je targeted ads kunnen sturen. "

Dat klopt, ik kreeg via een Comcast aansluiting geregeld advertenties geïnjecteerd in http pagina's, heel vervelend. Kreeg nu niet het idee dat de ads targeted waren, maar dat kan ook aan mijn Pihole/Unbound combinatie gelegen hebben :-) .
Het zou ideaal zijn als je een PiHole meteen gebruikt als volwaardige DNS server. Laat hem enkel maar DNS requests opvragen als die het echt niet weet. En naar X tijd zonder check de record verwijderen.

Dan is het onderscheppen van je DNS requests een stuk minder aantrekkelijk. Want je vraagt eens in de X tijd iets op dat zegt niet over hoe vaak jij die site bezoekt.

Het nadeel wel is dat een ISP natuurlijk ook gewoon nog je surfgedracht zelf in de gaten kan zouden. Door gewoon te kijken welke IP-adressen je opvraagt.
Dat is toch ook zo? Voor zover ik weet cachet pihole netjes de reeds opgevraagde namen.
En Amerikaanse bedrijven zijn juridisch een stuk zwakker om hun klanten te beschermen door zaken als de Patriot Act.
Wat is dit nou weer voor een rare opmerking. Heb je uberhaupt weleens gelezen wat er in de patriot wet staat?

Het lukt de FBI nog niet eens om de telefoon van een terrorist te laten ontgrendelen..
bronnen: - https://en.wikipedia.org/...ople%20and%20injured%2022.
- https://www.nytimes.com/news-event/apple-fbi-case
- https://techcrunch.com/20...82nvdLnmMRVeC40geflXXq3Ka

De Patriot Act wordt in de regel vooral gebruikt/misbruikt voor huiszoekingen, aftappen van telefoons/computers en informatie van burgers verborgen houden..
Je maakt hier een appel/peer vergelijking omdat de terrorist een persoon is terwijl een provider een bedrijfsmatige rechtspersoon is. En het gaat niet om toegang tot hetzelfde goed.

Een provider kan wel verplicht worden toegang tot loggings te geven omdat het gebruik van een openbare dienst niet onder dezelfde bescherming valt als een persoonlijke datadrager. En terwijl een terrorist zijn hakken in het zand zet omdat het hem persoonlijk treft zal een provider eerder ook gewoon meewerken als ze juridisch geen nut zien om zich te verzetten. Commercieel belang nietwaar.
Nee. Ik heb voor meerdere providers gewerkt en ze zien het opslaan en bijhouden van wat hun klanten uitspoken met hun verbinding als een kostenpost.

Het interesseert de gemiddelde provider geen fluit wat je met die verbinding doet, of je hem 24/7 100% belast of helemaal niet. Welke sites je wel of niet bezoekt. Onze providers hebben gemiddeld over elke aansluiting gewoon een fatsoenlijke marge en wetgeving maakt het dusdanig lastig, dat het meer moeite is dan het oplevert. Her en der zullen de grenzen af en toe opgezocht worden, maar de meeste providers leunen liever achterover met zo weinig mogelijk kosten en risico.

De providers waren heel blij toen onze Nederlandse wet bewaarplicht telecommunicatie overruled werd door de Europese Hof van Justitie.
Bij de US providers is het gewoon een officieel onderdeel van hun verdienmodel. Ze mogen gewoon je browserhistory openlijk verkopen aan iedereen. Dat zou hier wettelijk gezien verboden zijn.
Is kunnen toch ook gewoon een VPN inbouwen in de browser. Heb je ook privacy. Volgens mij is er een hoop politiek gelul om DoH. Maar gaat dit gewoon om doorontwikkeling. DNS is gewoon oud en toe aan vernieuwing. Maar je moet met de juiste politieke bullshit komen om technieken tegenwoordig te vernieuwen.
DNS is gewoon oud en toe aan vernieuwing.
Dat is in het geval van DoH natuurlijk een kul-argument: DNS (vooral over UDP) is een efficiënt, compact en makkelijk te debuggen protocol.
De evolutie van DNS zou via DoT (dns over tls) moeten gaan.
DoH is het zoveelste gefriemel door grote partijen om zaken onder controle te kunnen houden (en het zou mij absoluut niet verbazen als Mozilla door Google gepushed is om dit als eerste door te voeren zodat Chrome in de luwte, na alle ophef, kon meeliften).
HTTP3 is gaat over UDP en heeft TLS ingebakken. Waarom zou je nog een apart protocol over TLS willen gaan bouwen?
De defaults in Firefox worden per regio bepaald.

Dus in EU komt er geen default via CloudFlare/Google.
Dus in EU komt er geen default via CloudFlare/Google.
Bron?
Dns over https is ook hardstikke goed in Nederland, waar de overheid met hun sleepwet al je doen en laten nagaat en minimaal 3 jaar opslaat.
Leuk, maar DoH is een beetje DOA. DoT is here to stay en zal eerder grootschalig toegepast worden.

Helaas is DoH/DoT slechts het puntje van de ijsberg, DNSSEC en QNAME minimisation adoptie verloopt traag en alle browsers hebben amper tot geen ESNI support.

Overigens zoals DoT/DoH nu loopt geef je ook al je DNS queries door aan een onbekende derde partij en providers lijken er ook niet geïnteresseerd in het oppikken van DNS encryptie.

[Reactie gewijzigd door Nickvdd op 19 november 2020 11:57]

Waar zie je DoT nu toegepast worden?
Er zijn verschillende DNS providers die dit aanbieden (zoals 1.1.1.1) maar zolang de client ondersteuning niet standaard in Windows en Linux zit zal het gebruik ervan laag zijn. Android ondersteund wel DoT sinds Android 9 en iOS sinds versie 14.

[Reactie gewijzigd door 3raser op 19 november 2020 12:14]

Ik weet dat het ondersteund wordt maar ik zie niet echt een trend waarbij gebruikers het verkiezen boven DoH, laat staan dat het al grootschalig wordt toegepast.
Is dat niet puur omdat de gebruikers geen/weinig keuze hebben?
In een enterprise-omgeving wordt het misschien eerder gebruikt, maar voor gewone gebruikers is het inderdaad wellicht lastiger te vinden. Daarom vraag ik me af waar TS het vandaan haalt dat het 'grootschalig toegepast gaat worden', daar zie ik echt geen bewijs van.
> Daarom vraag ik me af waar TS het vandaan haalt dat het 'grootschalig toegepast gaat worden', daar zie ik echt geen bewijs van.

Denk dat dat meer hoop dan realiteit/statistieken is :)
Ik had het bij Xs4all, en nu heb ik het via Freedom.
Alhoewel ik geen Fritzbox gebruik(de "standaard" router van xs4all en freedom), weet ik dat ondersteuning daar standaard ingebakken zit.
Dus volgens mij zijn er best veel Nederlandse internetters die hier al gebruik van(kunnen) maken.

Grootschalig zou ik het niet willen noemen, want bij de meeste andere providers(ook zakelijk) is het met ondersteuning van dit soort zaken droevig gesteld.
Ik snap de meerwaarde van een secure DNS lookup niet, kan iemand mij uitleggen wat ik mis?

Volgens mij werkt het als volgt:
Ik vraag (al dan niet encrypted) aan cloudfare "Welk IP-adres hoort bij rabobank.nl?" en krijg als antwoord 11.22.33.44
Vervolgens stuur ik een pakketje naar 11.22.33.44, waarbij dit IP-adres nooit encrypted is voor het netwerk: de postbode moet immers weten waar dit pakketje bezorgd moet worden.

Iedereen die meeluistert, kan toch via een reverse lookup uitvogelen dat 11.22.33.44 bij de rabobank hoort?
In het geval van de rabobank wel, maar in het geval van een site op een shared hosting machine word het al wat lastiger om te achterhalen waar je naar toe bent gegaan. En met sites achter cloudflare weet je dus helemaal niets. Alleen cloudflare weet dat natuurlijk, maar die doen er niets mee kuch kuch.

Kijk de volgende filmpjes even.

https://www.youtube.com/watch?v=pjin3nv8jAo
https://www.youtube.com/watch?v=ZxTdEEuyxHU&t=2847s

[Reactie gewijzigd door syl765 op 19 november 2020 16:33]

Dus als meerdere sites hetzelfde IP adres hebben, dan weet je niet welke het is. En in het geval van bijv. Cloudfare, zijn dat er dus heel veel. Alleen in deze gevallen biedt DNS over HTTPS extra veiligheid tegen man-in-the-middle afluisteren.

Dank!
Ik vind dat het OS, en niet een stuk software zoals een browser DNS requests moet afhandelen.
Er zijn betere manieren voor veilig DNS dan DoH.

Hier een leuke talk over het onderwerp.
https://www.youtube.com/watch?v=pjin3nv8jAo

En de engelstalige versie met wat meer history.
https://www.youtube.com/watch?v=ZxTdEEuyxHU&t=2847s
ok dns over https of tls. Maar kunnen de ISP's niet alsnog zien dat er traffic tussen jou en het ip adres plaats vindt dat veilig is geresolved?
Klopt, daarom is DoH ook een wassen neus. En niet alleen dat, het is slechter voor je privacy dan normale DNS. De gemiddelde Nederlandse provider logt geen DNS verkeer, dat is gewoon een kostenpost gezien de grote hoeveelheid traffic en de voordelen zijn minimaal. Bovendien mixt elk apparaat in je huis al het dns verkeer, dus de isp kan niet zeggen welk device en welke gebruiker een query doet, ze kunnen maximaal op huishouden-nivo iets zien, en dat is vrij nutteloos. En nadat dat verkeer de isp verlaat dan is het een mix van het dns verkeer van alle klanten van die provider, dus je gaat op in de massa.

Met DoH, en http/2 sessies die niet afbreken kun je op device nivo de DNS volgen, en zowel cloudflare als google hebben aangegeven 'maar' 24 uur de dns te loggen (ze loggen dus wel). En omdat http/2 en https-resumption sessies behoorlijk goed en lang blijven werken kun je ook eenvoudig iemand door de dag tracken, ook als hij switched van provider (van ziggo wifi naar kpn 4g bv).

[Reactie gewijzigd door Kees op 19 november 2020 12:34]

Mogen/doen cloudflare/google ook de activiteiten van de logs verwerken voor commerciële doeleinden en dan de logs weggooien?
Mijn bedrijf gebruikt Zscaler als cloud DNS / proxy. Het maakt hierbij niet zoveel uit of ik DoT of DoH gebruik, al het verkeer loop alsnog via de DNS van Zscaler, en de company policies worden alsnog toegepast.
Een paar regels in je persoonlijk firewall op je verbinding en Zscaler staat buiten spel.
En dan gaat je client als fallback 'gewoon' verder op je eigen DNS server instellingen.
Moet je er wel voor zorgen dat clients zelf geen DoT/DoH DNS server kunnen instellen op hun client. Het is gewoon SSL verkeer dus je hebt een redelijk slimme firewall die DoH/DoT kan onderscheiden om dit verkeer te blokkeren. Maar zakelijk is het stuk lastiger met encrypted DNS. Je wil filteren op malware/virus domains. Maar ook op filesharing websites etc. Dan heb ik het nog niet over eventuele gok/game/vlees sites.
ZScaler kan ook SSL inspection doen, ze zien dus niet alleen je DNS requests maar ook gewoon de inhoud van alle https sites die je bezoekt :)
Nextdns leuke DoH en tls provider :)
Het is ook een kwestie van GDPR (althans in Europa). Als Firefox dit default aanzet, sturen ze in principe al je DNS queries wat mogelijk gevoelige data bevat, naar een derde partij. Dat mag niet zonder expliciete toestemming van de gebruiker.

En als het ook nog eens een Amerikaanse provider betreft, is de reglementering nog anders (Privacy Shield).
Onder de GDPR is expliciete toestemming niet de enige reden om zoiets te doen. Het zou ook onder een gerechtvaardigd belang kunnen vallen, maar dat zal Mozilla dan moeten verklaren.
Ik zou me meer zorgen maken dat m'n pi-hole omvalt dan dat Google mee kan kijken. Die kunnen dat toch wel.
Je PiHole kan gewoon DoH gebruiken en zo te zien komt DoT er uiteindelijk ook wel aan, dus dat zou allemaal geen probleem moeten zijn.
Pi Hole ondersteunt inmiddels ook DNSSEC en DoT.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True