DNS over HTTPS (afgekort “DoH”) is een vrije protocolstandaard voor de overdracht van DNS-query’s (en resoluties) via het beveiligde Hypertext Transfer Protocol (HTTPS). DoH versleutelt de gegevens en wordt daarom beschouwd als een veilig alternatief voor de overdracht van DNS-informatie in platte tekst. Dit is om de inhoud te beschermen tegen ongeoorloofde toegang of manipulatie en om de privacy van internetgebruikers te beschermen. Hier leest u hoe DNS over HTTPS werkt en welke voor- en nadelen de standaard met zich meebrengt.
DoT gebruikt TLS (Transport Layer Security) in plaats van HTTPS voor de overdracht van verzoeken en vereist dat poort 853 wordt ontgrendeld. Dit maakt het gemakkelijker om communicatie te identificeren en te voorkomen.
Helaas biedt zelfs DoH geen volledige bescherming van uw privacy. Het is nog steeds mogelijk dat de Internet Service Provider (ISP) onversleutelde delen van de communicatie registreert.
DoH is een IETF-standaard of een RFC draft. De IETF (“Internet Engineering Task Force”) is een organisatie zonder winstoogmerk die verantwoordelijk is voor de goedkeuring van openbare internetstandaarden.
Inhoudsopgave
1. hoe werkt DNS over HTTPS?
Het DNS (“Domain Name System”) is verantwoordelijk voor de naamresolutie in netwerken, waarvan het internet waarschijnlijk een van de bekendste vertegenwoordigers is. Wanneer u een URL (bv. www.wintotal.de) oproept in de browser, wordt automatisch een verzoek naar het DNS gestuurd om het IP-adres van de webserver te bepalen (in ons voorbeeld zou dit 91.210.227.76 zijn). De browser gebruikt deze informatie dan om de website op te roepen. Zonder DNS zou u telkens wanneer u een website wilt bezoeken het IP-adres in de browser moeten invoeren.
Er zit echter een addertje onder het gras: de query naar de DNS-server wordt in platte tekst verzonden. Dat betekent dat deze in principe onderweg tussen je apparaat en de naamserver kan zien welke website je wilt oproepen. Dit is een perfect doelwit voor hackers en cybercriminelen, want manipulaties (bv. omleiden naar een andere pagina of DDoS-aanvallen) zijn relatief eenvoudig uit te voeren.
1.1 De gegevens zijn verborgen in het HTTPS-verkeer
Hier komt DNS over HTTPS om de hoek kijken. Zoals de naam al aangeeft, wordt hierbij gebruik gemaakt van het HTTPS-protocol, dat standaard via poort 443 loopt. Aangezien deze poort in de meeste netwerken open staat, zijn er geen problemen door firewallblokkades en dergelijke.
Het DNS-verkeer loopt dus via een versleutelde HTTPS-verbinding naar de ongecensureerde (voor DoH geschikte) DNS-servers, de zogenaamde DoH-resolvers. Daartoe gebruikt DoH verbindingsgerichte communicatie en verstuurt het HTTPS-pakketten nadat deze tot stand zijn gebracht, die op hun beurt de eigenlijke DNS-vraag bevatten. De gegevens zijn dus verborgen in het eigenlijke HTTPS-verkeer. De resolver antwoordt op zijn beurt ook in gecodeerde vorm.
Door het gebruik van HTTPS kan nu vrijwel elke webserver DNS-query’s beantwoorden (mits hij natuurlijk DoH ondersteunt). Bovendien moet hij in de toekomst zelf informatie verstrekken over alle gelinkte en gebruikte pagina’s op de opgevraagde website. Op die manier zijn er geen verdere DNS-query’s nodig wanneer u naar de pagina in kwestie gaat.
Goed om te weten: Zelfs “klassieke” DNS-servers kunnen worden uitgebreid met DoH en dus via HTTPS worden bevraagd. Aangezien de huidige DNS-servers echter nog geen DoH-query’s ondersteunen, bevatten de apps in kwestie lijsten met vaste DoH-servers. Deze scheiden in feite DNS over HTTPS van de DNS-instellingen van het besturingssysteem.
2 DNS over HTTPS heeft ook zwakke punten
De meeste “normale” internetgebruikers weten waarschijnlijk niet eens hoe DNS werkt en waar het precies voor nodig is. Voor al diegenen is DoH zeker een enorme winst aan beveiliging. Beheerders en technisch ervaren particuliere gebruikers zullen het geheel waarschijnlijk met gemengde gevoelens bekijken.
Vooral in bedrijven kan de invloed van DoH soms zelfs tot ernstige problemen leiden. In de regel gebruiken systeembeheerders lokale DNS-servers en op DNS gebaseerde software om het lokale gegevensverkeer te filteren en te controleren. Dit is in de eerste plaats om te voorkomen dat werknemers toegang krijgen tot ongeoorloofde of gevaarlijke inhoud. Met DoH kunnen werknemers de filters echter omzeilen en ook toegang krijgen tot geblokkeerde inhoud.
En ook bij DoH is de veiligheid van uw privacy niet honderd procent gegarandeerd. Hoewel de gegevens op weg tussen de client en de resolver in beide richtingen worden versleuteld, beschikken de providers over andere mogelijkheden (trefwoord “TLS handshake” en “SNI”) waarmee zij de geschiedenis van uw bezochte websites kunnen achterhalen.
Goed om te weten: In de VS zijn vooral grote providers (zoals Comcast) bittere tegenstanders van DoH omdat het onder andere gerichte reclame massaal bemoeilijkt. Daarom heeft een groep ISP’s een presentatie gemaakt met misleidende en zelfs valse beweringen over DoH, in de hoop een negatieve houding te creëren bij wetgevers en het Congres.
Welke browsers ondersteunen al DoH?
3.1 Mozilla Firefox
Mozilla en de Amerikaanse internetprovider Cloudflare zijn de drijvende krachten achter DNS over HTTPS en daarom was Firefox ook de eerste browser met geïntegreerde DoH. In de huidige versie kunt u de functie activeren via“Instellingen -> Verbindingsinstellingen“.
Tip: Firefox handelt alle DoH-verzoeken standaard af via een Cloudflare-resolver. Persoonlijke instellingen met betrekking tot DNS-afhandeling worden gewoon omzeild. Het is echter ook mogelijk om de instelling op een andere DoH-resolver te zetten.
3.2 Google Chrome
Na Firefox is Google Chrome de tweede browser die met DoH is uitgerust. Je moet het hier echter eerst activeren via de link“chrome://flags/#dns-over-https“. Momenteel werkt dit al voor Windows, Mac, Android en Chrome OS, maar Linux-gebruikers blijven voorlopig helaas buiten schot.
Na het activeren van de functie stuurt Chrome de DNS-verzoeken naar dezelfde server als voorheen, maar versleutelt het verkeer als het een DoH-geschikte interface heeft. Is dit niet het geval, dan worden de verzoeken onversleuteld verzonden.
3.3 Op Chromium gebaseerde browsers
Veel andere bekende browsers (bijvoorbeeld Microsoft Edge, Opera of Vivaldi) zijn gebaseerd op Chromium en zijn Blink-engine. DNS over HTTPS is dus ook daarin aanwezig en kan in de respectieve instellingen worden geactiveerd.
Goed om te weten: Apple houdt zich momenteel zeer gedeisd met betrekking tot vragen over een DoH-implementatie in Safari. Aangezien de nieuwere versies van de browser echter al steeds meer afzonderlijke functies voor gegevensbescherming bevatten, is de kans groot dat er in de nabije toekomst ook een besluit wordt genomen over het DoH-protocol.