Woordenlijst - DNS over TLS

Wat is DNS over TLS ( of DoT ) ?

Bij DNS over TLS gaan DNS aanvragen over een versleutelde TLS-verbinding. Hierdoor is het DNS verkeer veilig en kan het niet afgeluisterd of vervalst worden.

Het DNS protocol is de wegwijzer van het internet. Via het Domain Name System zoekt je computer of je browser het IP-adres op waar je de website met de opgegeven domeinnaam kunt vinden. Voor de meeste gebruikers op het internet komt die informatie via hun internet service provider, maar er zijn duizenden aanbieders van nameservers. Dat verkeer is niet versleuteld, zodat het voor derden gemakkelijk is om uit te vissen welke sites je bezoekt. Dat is een probleem want, sommige (Amerikaanse) ISP’s verkopen de gegevens van websites die hun klanten bezoeken aan adverteerders, zodat die een completer profiel kunnen samenstellen en gerichter aanbiedingen kunnen pushen. In sommige landen worden de DNS gegevens geanalyseerd om opstandelingen te identificeren.

Versleuteling

DNS over TLS, kortweg DoT, lost dat probleem op. DoT is een standaard waarbij de gegevens die over het DNS systeem gaan versleuteld worden verstuurd over het internet. Die versleuteling loopt via TLS, net zoals het webverkeer over HTTP wordt versleuteld. De versleuteling wordt opgezet tussen de computer van de gebruiker en de DNS server.
Hierdoor kan een derde partij het DNS verkeer niet afluisteren of manipuleren.

Systeembeheerders niet blij

IT systeembeheerders van bedrijven maken zich zorgen over DoT. Grotere bedrijven zetten vaak eigen nameservers op, zodat ze zelf een meer controle hebben over welke websites hun gebruikers kunnen bezoeken. Daarnaast beschikken ze vaak voor inspectiesystemen in hun netwerk die bezoeken naar websites en servers die gelinkt worden aan malware en andere online bedreigingen blokkeren. Doordat het DNS verkeer nu versleuteld wordt, verliezen bedrijven die controle. Hiermee stellen ze hun gebruikers bloot aan malware, phishing en andere gevaren en kunnen gebruikers vrij websites bezoeken die voorheen geband waren.

DoT versus DoH versus DNSSEC

DNS over TLS en DNS over HTTPS zijn beide standaarden die onafhankelijk van elkaar zijn ontwikkeld. Het belangrijkste verschil is de poort die de protocollen gebruiken. Voor DoT is dat poort 853, voor DoH is dat 443, dezelfde poort die gebruikt wordt voor HTTPS-internet verkeer.

Ook DNSSEC heeft dezelfde doelstelling als DNS over TLS en DNS over HTTPS, nl. om het DNS verkeer te versleutelen. Het belangrijkste nadelen van DNSSEC is de complexiteit in het instellen van domeinnamen voor DNSSEC en de lange keten van tussenschakels die nodig zijn om DNSSEC compleet veilig te maken. Eén van die tussenschakels zijn internet service providers. Die aanbieders van nameservers ondersteunen, op enkele uitzonderingen na, geen DNSSEC. Hierdoor is na meer dan 10 jaar het aantal aandeel opzoekingen dat over DNSSEC gaat te verwaarlozen. Door DoT is veel eenvoudiger op te zetten.

Voorlopig lijkt het er op dat DNS over HTTPS echter snel veel tractie zal krijgen omdat browsermakers DoH standaard willen activeren.