Firefox op Android krijgt ondersteuning voor DNS-over-Https

Firefox op Android krijgt ondersteuning voor DNS-over-Https. Firefox had al sinds 2020 DoH op de desktop, maar niet mobiel. Mozilla onderzoekt of het DNS-over-Https in de toekomst de standaard kan maken, maar dat is in het begin niet het geval.

Mozilla schrijft dat Firefox 143 voor Android de optie biedt om DNS-over-Https aan te zetten. Standaard bepaalt Firefox wanneer dat wel en niet gebeurt. Er komt ook een optie waarbij gebruikers dat zelf kunnen bepalen, of waarbij gebruikers altijd DoH willen inzetten. Ook is er de optie een eigen DNS-resolver te kiezen. Firefox maakt gebruik van verschillende partijen die als DNS-resolver gelden, die moeten voldoen aan bepaalde eisen.

In het begin is de standaardoptie om DNS-verzoeken niet altijd te versleutelen. Mozilla wil onderzoek doen naar de prestaties van de browser en wat voor effect DoH daarop heeft als DNS-verzoeken worden versleuteld. "Als DoH zo snel wordt als we verwachten, willen we het standaard inschakelen voor Android-gebruikers in bepaalde regio's", zegt Mozilla.

Bij DNS-over-Https worden DNS-verzoeken naar de resolver versleuteld door ze via een derde partij zoals Cloudflare of Akamai te sturen. Tweakers schreef al in 2019 over de voor- en nadelen van DNS-over-Https, dat toen al in Firefox werd geplaatst. De desktopvariant van de browser ondersteunt het al sinds 2018 in bèta en sinds 2020 officieel, maar op mobiele apparaten was DoH tot nu toe nog niet beschikbaar.

dnsoverhttpsgroot

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 18-09-2025 13:48 52

18-09-2025 • 13:48

52

Lees meer

Franse non-profitorganisatie maakt Europese DNS-resolver dns0 beschikbaar
Franse non-profitorganisatie maakt Europese DNS-resolver dns0 beschikbaar Nieuws van 7 februari 2023
Google biedt ondersteuning voor DNS-over-HTTP/3 vanaf Android 11
Google biedt ondersteuning voor DNS-over-HTTP/3 vanaf Android 11 Nieuws van 20 juli 2022
Europese Unie wil eigen DNS-resolver die websites kan filteren
Europese Unie wil eigen DNS-resolver die websites kan filteren Nieuws van 20 januari 2022
DNS Resolution Required - Aanvullend wapen in strijd tegen malware en botnets
DNS Resolution Required - Aanvullend wapen in strijd tegen malware en botnets Nieuws van 25 november 2021
Android 13 lijkt ondersteuning voor dns-over-https op systeemniveau te krijgen
Android 13 lijkt ondersteuning voor dns-over-https op systeemniveau te krijgen Nieuws van 26 september 2021
Mozilla begint consultatie voor implementatie van dns-over-https in Firefox
Mozilla begint consultatie voor implementatie van dns-over-https in Firefox Nieuws van 19 november 2020
Meer producten en artikelen
Browsers Beveiliging en antivirus Mozilla Firefox Dns dns-over-https

Reacties (52)

-Moderatie-faq
52
52
30
4
0
21
Wijzig sortering
whiner 18 september 2025 13:51
Dit is vooral handing voor de advertentie boeren. de meeste dns filters werken dan niet meer.
dus je pihole en adhuard kunnen dan niks meer blokkeren.
Reageer
MrMonkE @whiner18 september 2025 14:13
Als jou pihole de DNS is gaat je browser dan niet over HTTPS met pihole praten voor de look-up?
Reageer
BRAINLESS01 @MrMonkE18 september 2025 14:47
Nee, het hele idee van DNS-over-HTTPS is dat software direct gaat communiceren met zijn eigen DNS servers. Google gebruikt dus zijn eigen DNS servers in bijvoorbeeld YouTube, Meta gebruikt zijn eigen DNS servers voor Facebook/Instagram, etc. In de oude situatie kon je als netwerkbeheerder bepaalde domeinen uitsluiten door DNS verkeer te onderscheppen. In de nieuwe situatie kan dat niet, omdat er geen DNS (poort 53) meer is, het gaat nu over HTTPS en ziet er net zo uit als iedere andere HTTPS verbinding. Vanwege de encryptie op HTTPS kun je in principe ook niet zien wat de inhoud is, maar met deep packet inspection kunnen ze tegenwoordig een heel eind komen.

Het voordeel van DNS-over-HTTPS is dat het veel moeilijker is om DNS aanvallen te doen. Vroeger kon je een DNS server instellen op een apparaat en dan bijvoorbeeld het ip adres van een bank veranderen naar jouw eigen ip adres. Iedereen die dan via dat apparaat de bank bezoekt, komt op jouw server uit. Door HTTPS was het al lastig om hier echt misbruik van te maken, maar met DNS-over-HTTPS is er een extra obstakel opgeworpen. Nadeel van DNS-over-HTTPS is dat je als consument ook niet meer de optie hebt om specifieke urls te blokkeren. Zelfs als je je eigen DNS server in je netwerk zet en al het DNS verkeer daar naartoe stuurt kan een applicatie via DNS-over-HTTPS je server compleet omzeilen. Deze methode werd veel gebruikt om advertenties te blokkeren, maar met DNS-over-HTTPS is dat zo goed als onmogelijk geworden. De enige optie is zoveel mogelijk DNS-over-HTTPS servers blokkeren, maar de minder bekende servers zullen er altijd door blijven komen.
Reageer
MrMonkE @BRAINLESS0118 september 2025 17:42
Maar kan de DNSoHTTPS provider -bv google in het geval van chrome- wel precies zien welke URLs jij allemaal bezoekt.
Reageer
lenwar
@MrMonkE18 september 2025 18:35
Ja, dat klopt, maar alles tussen de browser en de DoH-server niet. (Inclusief het OS en eventuele malware. Dat is het hele idee. 😊)

Je moet de DoH-service provider vertrouwen. Er is ook een meganisme dat ODoH heet (oblivious DoH), dan weet de DNS-server niet ‘wie’ jij bent, en de tussenpersoon weet niet ‘wat’ jij zoekt. (Zoek er maar op)
Reageer
whiner @MrMonkE18 september 2025 15:12
Ja en dat is encrypted, dus geen filtering mogelijk.
Reageer
DjoeC @MrMonkE18 september 2025 15:20
Voor mij is het grootste probleem met DoH alle "phone home" opties die overal in zitten. Pi-hole en Unbound lossen dat helaas niet op. Zodra het dan ook nog rechtstreeks naar IP adressen gaat (dus de DNS er tussenuit wordt gehaald) kun je alleen nog in een firewall blokkeren.
Reageer
lenwar
@DjoeC18 september 2025 18:36
Dat is een kwestie van een interne DoH-server gebruiken, zoals AdGuard Home.
Reageer
wiseger @whiner18 september 2025 13:56
Wie betaald die bepaald. Mozilla heeft ook geld nodig. Dus luisteren die steeds meer naar de wensen van de Big Tech. In ruil voor leuke donaties.

https://www.nu.nl/tweaker...ogle-zoekmachinedeal.html
Reageer
sll @wiseger18 september 2025 14:51
Dat is niet waar. Implementatie van DoH heeft helemaal niks te maken met de Google-deal. Dit is dus niet 'steeds meer naar de wensen van Big Tech' luisteren. Mozilla zegt zelf dat DoH wordt ingevoerd omdat de snelheid nu goed is, en DoH meer privacy geeft dan gewoon DNS.

De Google-deal (default zoekmachine is Google) bestaat al vrij lang (20 jaar ofzo) en is idd altijd vrij lucratief voor Mozilla geweest. Ik denk dat mensen onderschatten hoeveel mankracht je nodig hebt om een browser (inclusief engine!) te bouwen en onderhouden. Firefox is niet het zoveelste Chromium-product en dus erg waardevol.

Over de jaren heeft Mozilla allerlei dingen geprobeerd om de inkomstenbronnen te vergroten door services in het leven te roepen, maar dit heeft nooit succes gehad...

Ads filteren in Firefox doe ik gewoon met uBlock Origin, ook op Android. En je kunt zelf een andere niet-Google zoekmachine als default instellen.

Ikzelf gebruik trouwens sinds een paar maanden DNS4EU met ads-filtering op Android-systeemniveau en ben hier vrij tevreden over, behalve dat het niet werkt met de wifi op mijn werk... Zie nieuws: Europese DNS-resolver DNS4EU die websites kan filteren is beschikbaar
Reageer
Aalard99 @sll19 september 2025 07:58
Dat het op je werk niet werkt heeft vermoedelijk te maken dat je werkgever wil weten wat je uitspookt. Ze blokkeren DNS en staan alleen hun eigen DNS servers toe zodat ze inzicht krijgen waar je naartoe gaat.
Reageer
mrtl @whiner18 september 2025 14:01
Ik heb uBlock Origin geïnstalleerd in Firefox op Android. Zie vrij weinig tot geen advertenties eigenlijk (alhoewel het nadelig lijkt te zijn dat deze content in de client wordt geblokkeerd in tegenstelling tot op netwerkniveau).
Reageer
The Zep Man
@mrtl18 september 2025 14:13
Ik gebruik ook enkel uBlock Origin. Heb nooit voor mij het nut ingezien van PiHole-achtige zaken. Ik gebruik zaken zonder advertenties of waarbij advertenties op de endpoint geblokkeerd kunnen worden. Anders heb/gebruik ik het niet.
(alhoewel het nadelig lijkt te zijn dat deze content in de client wordt geblokkeerd in tegenstelling tot op netwerkniveau).
uBlock Origin kan juist nauwkeuriger filteren op manieren die DNS-oplossingen niet kunnen (zoals advertenties van dezelfde host, bijvoorbeeld van YouTube) en voorkomt onnodig DNS-verkeer. De browser kan voor zichzelf bepalen dat een element ongewenst is en dat meteen blokkeren.

[Reactie gewijzigd door The Zep Man op 18 september 2025 14:16]

Reageer
Nyarlathotep @The Zep Man18 september 2025 14:27
Het voordeel van Pi-Hole is onder meer het feit dat de advertenties je huis helemaal niet in komen. Adblockers in je browser hebben als nadeel dat de advertenties wél worden geladen, maar gefilterd. Ervaring leert dat je met een Pi-Hole oplossing ook een snellere gebruikerservaring hebt.
Reageer
The Zep Man
@Nyarlathotep18 september 2025 14:29
Het voordeel van Pi-Hole is onder meer het feit dat de advertenties je huis helemaal niet in komen. Adblockers in je browser hebben als nadeel dat de advertenties wél worden geladen, maar gefilterd.
uBlock Origin blokkeert op twee manieren advertenties:
• Request wordt niet gemaakt (geen netwerkverbinding). Element wordt niet geladen.
• Element in webpagina wordt geblokkeerd.

Dat laatste is belangrijk voor zaken die vanuit hetzelfde domein worden ingeladen, zoals YouTube advertenties. Dat laatste kan een Pi-Hole geen verdediging tegen bieden, tenzij die Pi-Hole in het geheel YouTube gaat blokkeren. Overigens wordt die YouTube-advertentie alsnog niet opgehaald.

[Reactie gewijzigd door The Zep Man op 18 september 2025 14:31]

Reageer
whiner @Nyarlathotep18 september 2025 15:05
En het werkt ook op andere devices in je netwerk, tv, mobiel, tablet.
Reageer
De_Daapse @The Zep Man18 september 2025 14:36
Ik gebruik ook zaken zonder advertenties.
Reageer
donkerlicht @The Zep Man18 september 2025 15:05
Heb nooit voor mij het nut ingezien van PiHole-achtige zaken.
PiHole biedt meer voordelen dan het blokkeren van reclame alleen. Ook tikfouten en phishing kunnen worden tegehouden. Wanneer ik bijvoorbeeld naar beIastingdienst.nl (L als hoofdletter i), in plaats van belastingdienst.nl ga, zie ik in het eerste geval niets. Dankzij mijn PiHole loop ik geen gevaar om naar een op het oog vertrouwd domein te gaan.
Reageer
dimdek @The Zep Man19 september 2025 11:59
Ik heb een PiHole draaien en viel stijl achterover toen ik hem in gebruik nam. Op hem moment dat ik mijn Samsung televisie aanzet steigt het aantal dns verzoeken met 3000 per tien minuten. Ook andere apparaten hebben me verbaasd. Ik vind het heel handig dat ik gericht bepaalde servers kan blokkeren of aan de hand van de resultaten besluit om het apparaat helemaal geen toegang tot internet meer te verlenen (bijvoorbeeld diverse domoticaspullen die door Home Assistant worden aanstuurt).
Reageer
CriticalHit_NL @mrtl18 september 2025 14:17
Gebruik dat ook, en Adguard DNS ingesteld in het netwerk van mijn telefoon zodat zowel Wifi en 5G waar dan ook via deze DNS lopen (94.140.14.14 / 94.140.15.15) waardoor dus sommige apps daardoor geen advertenties kunnen tonen.
Reageer
Yoxt @whiner18 september 2025 13:55
Daarom blokkeer ik de bekende DOH servers in mijn AGH, de client moet nog altijd eerst de query doen om het IP van de DOH server te vinden.
Reageer
iqcgubon @Yoxt18 september 2025 13:59
Toptip, bedankt! Is er ergens een lijstje ter beschikking met de bekende servers?

(2 seconden googlen uiteraard: https://github.com/MohamedElashri/doh-list)

[Reactie gewijzigd door iqcgubon op 18 september 2025 14:04]

Reageer
Frank @iqcgubon18 september 2025 14:25
Hagezi's DoH lijst is een stukje uitgebreider zo te zien: https://github.com/hagezi/dns-blocklists/?tab=readme-ov-file#outbox_tray-encrypted-dns-servers-only-. Bovendien houdt hij ook een lijst van corresponderende IP's van deze servers bij: https://github.com/hagezi/dns-blocklists/blob/main/ips/doh.txt
Reageer
Kets_One @Frank18 september 2025 14:33
Persoonlijk gebruik in de lijsten met DoH servers van dibdot (Github). Deze bevatten meer servers dan die van Hagezi en bevatten daarnaast ook IPv6 adressen. Alle verkeer naard eze servers blokkeer ik.

Daarnaast blokkeer ik ook poort 80/UDP en poort 443/UDP vanwege QUIC.

[Reactie gewijzigd door Kets_One op 18 september 2025 14:35]

Reageer
rbr320 @Kets_One18 september 2025 14:42
Daarnaast blokkeer ik ook poort 80/UDP en poort 443/UDP vanwege QUIC.
Waarom wil je QUIC in zijn geheel blokkeren?
Reageer
readefries @Kets_One19 september 2025 12:36
Je weet dat quick ook voor http/3 gebruikt wordt en je daardoor normale webdiensten frustreert?
Reageer
GertMenkel
@whiner18 september 2025 14:00
Als je Pihole gebruikt, zet je het toch gewoon uit? De verschillende opties zijn behoorlijk duidelijk uitgelegd als je het screenshot in het artikel bekijkt: https://blog.mozilla.org/wp-content/blogs.dir/278/files/2025/09/image-25-1.png

Als je een DoH-server gebruikt, stel je die nu in als DoH-server in je browser, dan doet je adblocker het ook buitenshuis.

Het enige nadeel dat ik kan bedenken is dat er ergens een systeembeheerder met split-horizon-opzet vragen krijgt van medewerkers die in Firefox ineens niet meer het intranet op kan, maar met het marktaandeel van Firefox verwacht ik niet dat dat een hele grote impact zal hebben.

[Reactie gewijzigd door GertMenkel op 18 september 2025 14:02]

Reageer
readefries @whiner18 september 2025 14:39
Ik snap niet helemaal hoe je dit bedoelt.

Je kan prima pihole oid bereikbaar maken via DoH. Zo doe ik dat zelf ook doh-proxy naar pi-hole naar unbound.
Reageer
lenwar
@whiner18 september 2025 15:18
Adguard Home spreekt ook aan de binnenkant gewoon DoH. Ofwel, je configureert je Firefox om DoH met AGH te comminiceren, en weer door.

DNS is het laatste dat niet structureel versleuteld is tot DoH/DoT/DoQ. Juist als een browser zelf DoH spreekt kan malware de boel niet omleiden of detecteren. (ook het OS en de bijbehorende malware) kan het dan niet meer zomaar de DNS-verzoeken afvangen en je alsnog wat anders voorschotelen.
Reageer
desalniettemin
@whiner18 september 2025 15:33
Dus niet gebruiken? Ook niet op de desktop? Ik gebruik https://dns.quad9.net/dns-query in Firefox en Brave.
Reageer
RobVI @whiner18 september 2025 16:34
Dat is al enige tijd te ondervangen via cloudflared https://docs.pi-hole.net/guides/dns/cloudflared/

Helaas zijn er nog geen routers die het via DHCP adverteren van een eigen DoH / DoT / DoQ server ondersteunen. (‘DHCP and Router Advertisement Options for the Discovery of Network-designated Resolvers (DNR)’ IETF RFC 9463) waardoor het handmatig ingesteld moet worden op ieder apparaat.
Reageer
lenwar
@RobVI18 september 2025 18:39
Dat is een optie. AdGuard Home ondersteund native zowel aan de binnenkant als de buitenkant DoH (dus met (in dit geval) Firefox praat je DoH met AGH, en AGH praat (indien gewenst) DoH met een bepaalde DoH-server.
Reageer
RobVI @lenwar18 september 2025 22:13
Kan AdGuard Home de nextgen DNS servers adverteren? Ik kan het zo snel niet vinden.
Reageer
lenwar
@RobVI18 september 2025 22:31
Wat versta je onder adverteren? AGH kan iedere DNS-server als upstream gebruiken, in alle gangbare methoden die de betreffende server gebruikt. (dns, DoH, DoT, DoQ)
Reageer
RobVI @lenwar19 september 2025 10:26
Via DHCP adressen van de nextgen DNS servers bekend maken. Dus dat niet iedere apparaat individueel ingesteld moet worden de nextgen DNS servers te gebruiken.
Reageer
lenwar
@RobVI19 september 2025 11:06
Maar dan passeer je AGH toch? Het idee is juist dat AGH de DNS-server is voor je apparaten, en dat AGH dan met nextgen praat.

Maar goed. AGH kan ook als DHCP-server fungeren, en kan volgens mij ook custom DNS-servers meegeven.
Reageer
RobVI @lenwar19 september 2025 14:37
AGH is juist de nextgen DNS server.

Het adverteren van DoT / DoH / DoQ servers via DNR ondersteunen routers nog niet.
Reageer
lenwar
@RobVI19 september 2025 19:53
Ah. Ik las het verkeerd. Ik dacht dat je het over nextdns.io had (de dns-dienst.) Ik kende de term 'next gen dns' niet voor DoH-gerelateerde zaken. Maar in dat geval is het antwoord 'nee', dit kun je helaas niet instellen in de DHCP van AGH.
Reageer
Maurits van Baerle
18 september 2025 14:01
Bij mijn weten gebruikt Android hardcoded de DNS servers van Google en wordt ander DNS verkeer zelfs onderschept om het maar via de servers van Google te laten lopen.

Dit zou waarschijnlijk een van de weinige manieren zijn om daar omheen te kunnen komen.

Iemand met meer Android ervaring die daar iets meer over weet?
Reageer
Niema @Maurits van Baerle18 september 2025 14:11
Zou niet moeten gebeuren op de mobiel, maar volgens mij wel op de Android TV
Reageer
Joecatshoe @Niema18 september 2025 14:59
Op mijn mobiel wel, maar enkel als ik verbind met DHCP. Mijn toestel zet 8.8.8.8 eerst in de DNS server rangorde, met de server die het krijgt van DHCP op de tweede plaats. Dat doet het automatisch en ik vind nergens een optie om dat uit te zetten. Verbind ik met een statisch IP, dan gebruikt het wel enkel de DNS die ik zelf aangeef.

[Reactie gewijzigd door Joecatshoe op 18 september 2025 15:00]

Reageer
Cafe Del Mar @Maurits van Baerle18 september 2025 14:12
Ik heb een PiHole op mijn thuisnetwerk. Alle telefoons op de WiFi genieten dus van advertentievrij internet. Je merkt pas hoe aangenaam dat is, als je buitenshuis ad-apps opent.
Dus ik herken uw statement niet dat Android alles over Google-DNS laat lopen.
Reageer
Rogers @Maurits van Baerle18 september 2025 14:37
Google hub werkt bijv. niet eens als je Google DNS blokkeerd.
Chrome gaat dacht ik ook hardcoded naar Google dns.
Reageer
whiner @Maurits van Baerle18 september 2025 15:10
Het zit erg diep verstopt in het instellingen menu van android, maar je kan het wel veranderen.
Reageer
GertMenkel
@Maurits van Baerle18 september 2025 15:23
Google heeft zijn servers gehardcoded als de DNS-servers die je van het netwerk krijgt niet werken, of als je ze handmatig aanzet. Daar is Google niet de enige in, dat doet systemd-resolved bijvoorbeeld ook. Je telefoon gebruikt normaal gewoon de DNS-server die via RDNSS of DHCP is geconfigureerd.

Het kan natuurlijk misgaan; als je Google niet mag en je google.com blokkeert, faalt de connectivity-check en denkt je telefoon dat je geen internet hebt. Dan krijg je ook de Google-DNS-servers, maar dat is alleen omdat je telefoon z'n internet kapot is bevonden. Overigens gaan er dan ook andere API-checks mis dus kun je "je hebt geen internet" te zien krijgen in apps waar geen enkele blokkade op zit omdat ConnectivyManager dat aangeeft.

Wil je dat probleem voorkomen, dan moet je een andere servers instellen (afhankelijk van je telefoon is dat de systeeminstelling captive_portal_server, captive_portal_https_url, captive_portal_http_url die je via ADB zou moeten kunnen kiezen).
Reageer
telenut 18 september 2025 14:03
Als je malafide sites wil blokkeren op uw netwerk kan men dit zo omzeilen dus?
Reageer
PetervdM 18 september 2025 14:11
op je pihole en andere systemen die dienen als interne dns server kun je een "canary" domain aanmaken:

Canary domain - use-application-dns.net | Firefox Help
Reageer
duderuud 18 september 2025 14:12
Ik gebruik DoH juist systeem-breed op Android om ads te blocken (Adguard DNS).

Hoef je niet per applicatie te klooien...
Reageer
desalniettemin
@duderuud18 september 2025 15:34
Ik deze in Firefox en brave: https://dns.quad9.net/dns-query En die Adguard op Android.

[Reactie gewijzigd door desalniettemin op 18 september 2025 15:37]

Reageer
addictive_rhymz 18 september 2025 18:07
Op de iphone gebruik ik nextdns. Die blockt heel wat advertenties en phone home domeinen.
Reageer
mutley69 18 september 2025 21:03
Het is bij mij DNS over TLS of het is niet! Geen DNS over https - dat is veel te gevaarlijk. DNS verkeer wil je vlot kunnen herkennen.
Reageer
Kets_One 19 september 2025 12:52
Jazeker. Maa het is vooral een controledingetje. Ik kan in m'n firewall net meer filteren.

PS: tot nu toe merk ik nog niet dat ik geen pagina's meer kan benaderen.

[Reactie gewijzigd door Kets_One op 19 september 2025 12:53]

Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq