Privacy first bij nieuwe DNS-resolver van Cloudflare

Een adres opzoeken in het Domain Name System (DNS) kost gemiddeld 32 milliseconden. De meeste pagina's laden content van verschillende domeinen, dus iedere versnelling van dat proces tikt aan. Onder andere Cisco en Google hebben daarom snelle openbare DNS-servers, waar Cloudflare er nu een aantal aan toevoegt. Zo veel, volgens het bedrijf, dat iedereen uiteindelijk binnen 10 ms een respons van een van de servers moet kunnen krijgen. Daarbij gebruikt Cloudflare de open source-software Knot Resolver, die caches bijhoudt met populaire IP-adressen en veelgemaakte fouten, zodat vaak opgevraagde websites en foutmeldingen direct beschikbaar zijn.

Privacy

De belangrijkste eigenschap van de nieuwe publieke DNS-server is privacy. Met de afschaffing van netneutraliteit in de VS is de deur voor providers opengezet om alle IP-adressen bij te houden die je bezoekt, en die gegevens te verkopen. Cloudflare belooft geen IP-adressen van gebruikers op te slaan en alle logs binnen 24 uur te verwijderen. En het bedrijf heeft accountants- en adviesorganisatie KPMG ingeschakeld om dat jaarlijks te controleren.

Ook ondersteunt de privacyvriendelijke service DNS-over-TLS én DNS-over-HTTPS. Dit houdt in dat transport layer encryption wordt toegevoegd aan het DNS-protocol, en dat Quick UDP Internet Connections en HTTP/2 Server Push worden ondersteund. Het gebruik van deze technologie verstevigt de privacybescherming en verhoogt het prestatieniveau; voor veiligheid hoeft dus niet de prijs van minder vlotheid te worden betaald.

1.1.1.1

Het adres van de DNS-server is niet moeilijk te onthouden (net zomin als dat van Google op 8.8.8.8):

• voor IPv4: 1.1.1.1 en 1.0.0.1
• voor IPv6: 2606:4700:4700::1111 en 2606:4700:4700::1001

50 Gbit/s aan troep

Het iconisch ogende IP-adres 1.1.1.1 is jarenlang onderzocht door het Asia Pacific Network Information Centre (APNIC) in samenwerking met Google. Zij hebben gekeken hoe het systeem precies functioneert, en hoeveel en wat voor ongevraagd verkeer er langs zou komen. Uit het onderzoek is veel nuttige informatie gekomen die gebruikt wordt om het systeem beter te beveiligen. Ook is ontdekt dat het adres 1.1.1.1 door velen ge- en misbruikt wordt. Zo bleek Vodafone Duitsland het in te zetten als cache voor plaatjes op zijn mobiele netwerk, en zijn er WiFi-hotspots opgemerkt die 1.1.1.1 als routeradres hebben geconfigureerd.

Geoff Huston van APNIC meldt dat het toen nog niet openbare IP-adres enige jaren geleden al 50 gigabit per seconde aan rotzooi aantrok. De organisatie zet het onderzoek voort nu er ook het bedoelde DNS-verkeer langs gaat komen, en verzekert het publiek net zo min als Cloudflare zelf geïnteresseerd te zijn in de data van individuele gebruikers.