Woordenlijst - DNS over HTTPS

Wat is DNS over HTTPS ( of DoH ) ?

Bij DNS over HTTPS gaan DNS aanvragen over een versleutelde HTTPS-verbinding. Hierdoor is het DNS verkeer veilig en kan het niet afgeluisterd of vervalst worden.

Het DNS protocol is de wegwijzer van het internet. Via het Domain Name System zoekt je browser het IP-adres op waar je de website met de opgegeven domeinnaam kunt vinden. Voor de meeste gebruikers op het internet komt die informatie via hun internet service provider, maar er zijn duizenden aanbieders van nameservers. Dat verkeer is niet versleuteld, zodat het voor derden gemakkelijk is om uit te vissen welke sites je bezoekt. Sommige Amerikaanse ISP’s verkopen die gegevens aan adverteerders, zodat die een completer profiel kunnen samenstellen en gerichter aanbiedingen kunnen pushen.

DNS over HTTPS, kortweg DoH, lost dat probleem op. Het stuurt de DNS aanvragen door over een versleutelde HTTPS-verbinding. Omdat het verkeer versleuteld is kan het niet afgeluisterd worden en kan er niet mee geknoeid worden. De internet provider krijgt daardoor geen inzicht in de DNS requests van zijn klanten. Dat lijkt een goede zaak voor consumenten, ware het niet dat het aantal aanbieders van DoH zeer beperkt is. Bovendien willen browsers de DoH-aanbieders “certifieren”. Onder die aanbieders zijn Google en Cloudflare. Beiden zijn Amerikaanse bedrijven en niet onbesproken wat privacy betreft.

Controverse

Firefox heeft recent DNS over HTTPS standaard geactiveerd. Na heel wat protest is dit teruggedraaid, met uitzondering van de VS. Ook Microsoft en Google experimenteren met DNS over HTTPS in de vroege ontwikkel builds van hun browsers.

Hoewel DNS over HTTPS de veiligheid en privacy op het internet wil vergroten, lijkt het in zijn huidige vorm er vooral op dat er een grotere centralisatie zal komen van DNS verkeersgegevens. Dit roept bij veel gebruikers vragen op over de inmeninging van overheden of grote bedrijven die zo nog meer macht krijgen op het internet. Hierdoor gaat het decentrale karakter van het internet verloren.

Ook IT systeembeheerders van bedrijven maken zich zorgen over DoH. Grotere bedrijven zetten vaak eigen nameservers op, zodat ze zelf een complete controle hebben over welke websites hun gebruikers kunnen bezoeken. Doordat browsers nu die stap gaan overslaan en direct naar publieke, centrale nameservers te gaan die in de browsers zijn ingesteld verliezen bedrijven die controle. Hiermee stellen ze hun gebruikers bloot aan malware, phishing en andere gevaren en kunnen gebruikers vrij websites bezoeken die voorheen geband waren.

DoH versus DoT versus DNSSEC

DNS over HTTPS en DNSSEC hebben beide tot doelstelling om het DNS verkeer te versleutelen. De belangrijkste nadelen van DNSSEC is de complexiteit in het instellen van domeinnamen voor DNSSEC en de lange keten van tussenschakels die nodig zijn om DNSSEC compleet veilig te maken. Eén van die tussenschakels zijn internet service providers. Die aanbieders van nameservers ondersteunen, op enkele uitzonderingen na, geen DNSSEC. Hierdoor is na meer dan 10 jaar, het aandeel van DNS opzoekingen dat over DNSSEC gaat, te verwaarlozen. Door DoH in te bouwen in de browser, kan snel een heel groot deel van opzoekingen via DNS over HTTPS gaan. Er zijn geen tussenschakels meer nodig.

De opzet van DNS over HTTPS en DNS over TLS is gelijkaardig. Het zijn beide standaarden die onafhankelijk van elkaar zijn ontwikkeld. Het belangrijkste verschil is de poort die deze protocollen gebruiken. Voor DoT is dat poort 853, voor DoH is dat 443, dezelfde poort die gebruikt wordt voor HTTPS-internet verkeer.

Voorlopig lijkt het er op dat DNS over HTTPS echter snel veel tractie zal krijgen omdat browsermakers DoH standaard willen activeren.