Development

Security
slotjes

Internet veiliger door DNS over HTTPS

Tot nog toe is Firefox de enige browser die DNS over HTTPS ondersteunt.

© Unsplash Tommy Lee Walker
8 juli 2019

Tot nog toe is Firefox de enige browser die DNS over HTTPS ondersteunt.

Voordat een beveiligde verbinding kan worden opgezet (https) moet eerst in het hierarchische 'telefoonboek' van internet - het Domain Name System (DNS) - het IP-adres worden opgezocht van de server waarop de website wordt gehost. Die opvragingen verlopen nu nog bijna allemaal onversleuteld en bieden dus mogelijkheden voor onderschepping en omleiding door kwaadwillenden.

Om dit probleem aan te pakken bestaat er een protocol 'DNS over HTTPS' (DoH) dat in oktober vorig jaar is aangemeld bij de IETF om het tot officiële standaard te verheffen (RFC 8484). Hoewel Google en Mozilla al sinds maart vorig jaar aan het testen zijn, is de Firefox-browser van Mozilla de enige die het protocol nu ondersteunt.

Veilig verzoek versturen

Om het systeem te laten werken moeten echter ook de servers met DNS-informatie (DNS-resolver) compatibel zijn met het DoH-protocol. Op dat moment dan de browser een beveiligde verbinding opzetten via poort 443 met de dichtsbijzijnde DoH-ondersteunende DNS-resolver en daarover het verzoek versturen.

Als extra beveiliging kunnen apps een hardgecodeerde lijst met betrouwbare DoH-resolvers krijgen. Dit protocol overruled de standaard DNS-instellingen die in het besturingssysteem vastliggen. Op die manier kunnen app-ontwikkelaars garanderen dat de gebruiker naar de juiste server worden geleid.

Weerstand tegen default instelling

Een bijkomend effect is dat gebruikers zo filters, ingesteld door internetaanbieders of overheden, kunnen omzeilen. Mozilla wil eigenlijk de DoH-ondersteuning in Firefox default aanzetten. Dat stuit echter op weerstand, zoals bij de Britse overheid. Die heeft van bijvoorbeeld een filter geïnstalleerd dat moet voorkomen dat Britse internetters toegang krijgen tot materiaal sprake is van de schending van auteursrecht. Ook hebben de Britse internetaanbieders samen besloten de toegang tot websites met kinderporno te blokkeren.

Gebruikers kunnen echter wel in Firefox zelf DoH activeren in de netwerkinstellingen (Options - General - Nerkwork Settings - Settings))

Lees meer over
Lees meer over Development OP AG Intelligence
1
Reacties
Ano 09 juli 2019 16:47

Wat zijn de mogelijke gevolgen als met name Amerikaanse partijen alle DNS data van heel veel mensen in handen krijgen? Juist dat dat nu verspreid is en je relatief simpel een eigen naamserver kunt draaien of nog makkelijker de naamserver van je eigen ISP (bv KPN) kunt gebruiken is een voordeel. Het zorgt voor meer spreiding van de data en je hebt veel meer zelf controle over het geheel. Dat grote nadeel is waarom ik iedereen af zou raden DoH te gebruiken icm een naamserver van bv Google of Cloudflare (of een andere Amerikaanse partij).

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.