Innovatie & Strategie

Security
DNS

7 vragen over DNS-over-HTTPS, ofwel het veiliger internetadresboek

Is DoH nou veiliger of onveiliger?

© CC0 - Public Domain
18 mei 2020

Is DoH nou veiliger of onveiliger?

Microsoft zette vorige week de eerste stappen om het webverkeer beter te beveiligen door een bètaversie van Windows 10 te voorzien van de ondersteuning voor DNS-over-HTTPS (DoH). Maar wat is DoH eigenlijk, waarom is het belangrijk en waarom is er ook veel weerstand tegen?

Dus 7 vragen en antwoorden over DNS-over-HTTPS:

1. Wat is DNS ook alweer?

Het Domain Name System is het 'adresboek' van internet. Het is een zeer belangrijk gedistribueerd systeem dat webadressen vertaalt in IP-adressen. Dus wanneer een webgebruiker een internetadres op de adresbalk (URL) intikt of een link aanklikt, wordt het betreffende webadres (dus bijvoorbeeld agconnect.nl)  gekoppeld aan een IP-adres van de server waarop de site van AG Connect wordt gehost.

Niet elke DNS-server of resolver bevat alle IP-adressen van alle hosting servers ter wereld. Daarom bestaat het DNS uit een wereldwijd netwerk van DNS-resolvers - die naar elkaar verwijzen voor meer gedetailleerde informatie voor de websitehosters, bijvoorbeeld in een specifieke regio Die resolvers houden elkaar up-to-date. Een webgebruiker is in principe vrij te kiezen welke DNS-server te benaderen als toegangspoort tot dit netwerk. Heel vaak heeft een internetaanbieder een eigen kopie (proxy) met veelgebruikte internetadressen om de eigen klanten snel van dienst te zijn. Die staat vaak als standaard ingesteld in de router van de webgebruiker. Soms kan het handiger zijn om een andere DNS-server in te stellen.

2. Wat is het probleem?

Omdat de DNS-systematiek al bijna zo oud is als het world wide web, is het DNS-protocol oud en verloopt dit contact doorgaans via een onversleutelde verbinding. Dus ook al wordt het webverkeer versleuteld zodra het contact met de websitehost was gelegd, de eerste stap biedt kwaadwillenden nog altijd de mogelijkheid de webgebruiker om te leiden naar een malafide site die er uitziet als de site waarmee geprobeerd werd contact te zoeken, bijvoorbeeld de bank.

3. Wat lost DNS-over-HTTPS op?

DoH is eigenlijk een van de laatste stappen om de keten te sluiten. Door gelijk het eerst contact met de DNS-server te beveiligen, is het gevaar geweken van een man-in-the-middle die het verkeer omleidt. Gelijk doen, toch?

4. Zijn er problemen?

Wil het systeem goed werken, dan moeten alle schakels in de keten van deze versleuteling worden voorzien, ook met DNS-servers in regio's waar de aandacht voor de beveiliging minder groot is. Ook moet iedereen in de keten het eens zijn over de betrouwbaarheid van de certificaten die voor het beveiligen van de servers worden gebruikt. Het beveiligen van de DNS-server is niet eenvoudig en raakt aan de stabiliteit als er iets fout gaat. Als het niet direct tot resultaat leidt, zijn organisaties doorgaans niet erg bereid daar veel tijd en geld in te investeren.

5. Zit er nu schot in de zaak?

Verschillende browserproducenten bieden al ondersteuning voor DoH. Ook de producenten van besturingssystemen zijn bijna zo ver. Android-versie 9 en hoger bijvoorbeeld ondersteunen DoH en nu ook Microsoft in Windows 10 die ondersteuning binnenkort biedt, is de kant van de gebruiker klaar, zou je zeggen. Maar in de keten van DNS-servers zijn ze nog lang niet allemaal zo ver. Daarom kiezen de browserproducten ervoor om het beveiligde verkeer te sturen naar door hen geselecteerde en geverifieerde DNS-resolvers, waaronder die van henzelf in sommige gevallen. Dat roept weer weerstand op van gebruikers die er niet van gediend zijn dat bijvoorbeeld Chrome het verkeer naar een Google-DNS-server stuurt, waar in principe Google alsnog de mogelijkheid heeft te controleren welke sites een gebruiker allemaal bezoekt. Op de server moet het verzoek even ontsleuteld worden om het verzoek te kunnen lezen.

6. Is er nòg meer weerstand?

Het doel van DoH is meer privacy en veiligheid voor het merendeel van de internetgebruikers bij bijvoorbeeld internetbankieren. Dat kan wanneer een gebruiker weer zijn eigen DNS-resolver kan kiezen in het geval dat het merendeel van het DNS-resolvernetwerk DoH ondersteunt.

Toch zien sommige groepen DoH juist als een bedreiging van de veiligheid. Immers met DoH is de hele informatieoverdracht van gebruiker naar webserver in principe versleuteld. Dat betekent dat ook criminelen en andere kwaadwillenden vrij spel hebben op het internet om hun informatie uit te wisselen. De opsporingsdiensten kunnen immers ook niet meer aftappen wie welke websites bezoekt (de metadata van het verkeer), mocht dat voor het oprollen van ongewenste activiteiten nodig zijn. 

7. Kan het nog anders?

Er is nog een alternatieve manier die overigens niets verandert aan het laatstgenoemde probleem, maar wel de discussie nog complexer maakt. Het gaat om DNS-over TLS (DoT). Dat protocol versleutelt het DNS-verzoek zelf via TLS in plaats van een tunnel te creëren over internet waardoor het DNS-verzoek gaat zoals dat met DoH gebeurt. Het voordeel is dat DoT eenvoudiger te implementeren is. Het verdeelt echter de voorvechters van versleuteling nog onderling in twee kampen.

Lees meer over
Lees meer over Innovatie & Strategie OP AG Intelligence
2
Reacties
Erwin1 19 mei 2020 12:20

DoH, DoT, DNSSEC, allemaal pogingen om het DNS verkeer veiliger te maken, en een primair punt van entry van Malicious Activity te beveiligen. Maar al die opties staan of vallen bij de acceptatie en implementatie hiervan. DNSSEC ligt er al sinds 2015, maar nog steeds is het overgrote deel van DNS nog niet met DNSSEC beveiligd. Zo zal het ook met DoH en DoT gaan. Slechts een handvol DNS Servers zullen DoH of DoT gaan ondersteunen, dus wil je van deze protocollen gebruik maken, dan moet je verplicht van specifieke providers de DNS Servers gebruiken. En da's nou ook weer niet handig.
Overigens is het wel frappant dat DoH dus wel in de DNS CLient van Windows 10 ingebouwd wordt, maar de eigen DNS Server service van Microsoft dit protocol niet ondersteund.

Jelte 19 mei 2020 12:05

DNS over HTTPS en DNS over TLS zorgen er voor dat het verkeer tussen jouw apparaat en de DNS server beveiligd is. Hierdoor kan een beheerder niet meer meekijken welke domeinen je bezoekt.

Dit heeft tot gevolg:
- de lokale DNS server die malware tegenhoudt, wordt overgeslagen, dus minder veilig
- je privacy leg je nu neer bij een onbekende partij. Waar de DNS eerst van je provider gebruikte, gebruik je nu automagisch de DNS servers van ?? Google? Cloudflare? Hierdoor komen deze grote partijen nog meer over je te weten dan dat ze al doen. Mocht je dat geen probleem vinden, dan moet je het vooral doen, maar door in het besturingssysteem bij IEDEREEN dit door de strot te drukken, maak je de privacy er niet beter op. Van het originele decentrale internet, gaan we het belangrijkste component centraal leggen bij een partij die er geld mee verdiend. Dus dag privacy.

Hier zo maar 2 essentiële onderdelen van de veiligheid die door DoH en DoT gigantisch hard onderuit gehaald worden.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.