Bedrijven zoals Microsoft, Google en Mozilla gaan door met DNS via HTTPS (DoH). Deze technologie versleutelt DNS-lookups, waardoor de online privacy en veiligheid worden verbeterd. Maar het is controversieel: Comcast lobbyt ertegen. Dit is wat u moet weten.
Wat is DNS via HTTPS?
Het web is aan het pushen om alles standaard te versleutelen. Op dit moment gebruiken de meeste websites die u bezoekt waarschijnlijk HTTPS-codering. Moderne webbrowsers zoals Chrome markeren nu alle sites die standaard HTTP gebruiken als ‘niet veilig’. HTTP/3, de nieuwe versie van het HTTP-protocol, heeft codering ingebakken.
Deze codering zorgt ervoor dat niemand kan knoeien met een webpagina terwijl u deze bekijkt of kan snuffelen in wat u online doet. Als u bijvoorbeeld verbinding maakt met Wikipedia.org, kan de netwerkoperator – of dat nu de openbare Wi-Fi-hotspot van een bedrijf is of uw ISP – alleen zien dat u bent verbonden met wikipedia.org. Ze kunnen niet zien welk artikel je aan het lezen bent en ze kunnen een Wikipedia-artikel onderweg niet wijzigen.
Maar bij het streven naar encryptie is DNS achtergebleven. Het domeinnaamsysteem maakt het mogelijk om verbinding te maken met websites via hun domeinnamen in plaats van door numerieke IP-adressen te gebruiken. U typt een domeinnaam zoals google.com, en uw systeem neemt contact op met de geconfigureerde DNS-server om het IP-adres te krijgen dat aan google.com is gekoppeld. Het maakt dan verbinding met dat IP-adres.
Tot nu toe zijn deze DNS-lookups niet versleuteld. Wanneer u verbinding maakt met een website, start uw systeem een ​​verzoek met de mededeling dat u op zoek bent naar het IP-adres dat aan dat domein is gekoppeld. Iedereen daar tussenin – mogelijk je ISP, maar misschien ook gewoon een openbare wifi-hotspot die verkeer registreert – kan registreren met welke domeinen je verbinding maakt.
DNS via HTTPS sluit dit toezicht af. Bij DNS via HTTPS maakt uw systeem een ​​veilige, versleutelde verbinding met uw DNS-server en verzendt het verzoek en antwoord via die verbinding. Iedereen daartussenin kan niet zien welke domeinnamen je opzoekt of knoeien met het antwoord.
Tegenwoordig gebruiken de meeste mensen de DNS-servers van hun internetprovider. Er zijn echter veel DNS-servers van derden, zoals Cloudflare’s 1.1.1.1, Google Public DNS en OpenDNS. Deze externe providers behoren tot de eersten die server-side ondersteuning voor DNS via HTTPS inschakelen. Om DNS via HTTPS te gebruiken, hebt u zowel een DNS-server als een client (zoals een webbrowser of besturingssysteem) nodig die dit ondersteunt.
Wie zal het steunen?
Google en Mozilla testen DNS al via HTTPS in Google Chrome en Mozilla Firefox. Op 17 november 2019 kondigde Microsoft aan dat het DNS over HTTPS zou gaan gebruiken in de Windows-netwerkstack. Dit zorgt ervoor dat elke toepassing op Windows de voordelen van DNS boven HTTPS krijgt zonder expliciet te worden gecodeerd om het te ondersteunen.
Google zegt dat het DoH standaard zal inschakelen voor 1% van de gebruikers die beginnen in Chrome 79, dat naar verwachting zal worden uitgebracht op 10 december 2019. Wanneer die versie wordt uitgebracht, kun je ook naar chrome://flags/#dns-over-https om het in te schakelen.
Mozilla zegt dat het DNS via HTTPS voor iedereen in 2019 zal inschakelen. In de huidige stabiele versie van Firefox van vandaag kun je naar menu> Opties> Algemeen gaan, naar beneden scrollen en op “Instellingen” klikken onder Netwerkinstellingen om deze optie te vinden. Activeer ‘DNS inschakelen via HTTPS’.
Apple heeft nog geen commentaar gegeven op plannen voor DNS via HTTPS, maar we verwachtten dat het bedrijf de ondersteuning in iOS en macOS zou volgen en implementeren, samen met de rest van de industrie.y
Het is nog niet standaard voor iedereen ingeschakeld, maar DNS via HTTPS zou het gebruik van internet privé en veiliger moeten maken zodra het klaar is.
Waarom lobbyt Comcast ertegen?
Dit klinkt tot nu toe niet erg controversieel, maar dat is het wel. Comcast heeft blijkbaar gelobbyd bij het congres om te voorkomen dat Google DNS via HTTPS uitrolt.
In een presentatie gepresenteerd aan wetgevers en verkregen door Motherboard, stelt Comcast dat Google “eenzijdige plannen” (“samen met Mozilla”) nastreeft om DoH te activeren en “[centralize] een meerderheid van de wereldwijde DNS-gegevens bij Google’, wat ‘een fundamentele verschuiving zou betekenen in de gedecentraliseerde aard van de internetarchitectuur’.
Veel hiervan is, eerlijk gezegd, onjuist. Marshell Erwin van Mozilla vertelde Motherboard dat “de dia’s over het algemeen extreem misleidend en onnauwkeurig zijn.” In een blogpost wijst Chrome-productmanager Kenji Beaheux erop dat Google Chrome niemand zal dwingen om van DNS-provider te veranderen. Chrome gehoorzaamt de huidige DNS-provider van het systeem: als het DNS via HTTPS niet ondersteunt, gebruikt Chrome DNS via HTTPS niet.
En sindsdien heeft Microsoft plannen aangekondigd om DoH te ondersteunen op het niveau van het Windows-besturingssysteem. Met Microsoft, Google en Mozilla die het omarmen, is dit nauwelijks een “eenzijdig” schema van Google.
Sommigen hebben getheoretiseerd dat Comcast DoH niet leuk vindt omdat het geen DNS-lookupgegevens meer kan verzamelen. Comcast heeft echter beloofd dat het uw DNS-lookups niet bespioneert. Het bedrijf houdt vol dat het versleutelde DNS ondersteunt, maar wil een “samenwerkingsoplossing voor de hele sector” in plaats van “eenzijdige actie”. De berichten van Comcast zijn rommelig – de argumenten tegen DNS via HTTPS waren duidelijk bedoeld voor de ogen van wetgevers, niet voor het publiek.
Hoe werkt DNS via HTTPS?
Laten we, afgezien van de vreemde bezwaren van Comcast, eens kijken hoe DNS via HTTPS echt zal werken. Wanneer DoH-ondersteuning live gaat in Chrome, gebruikt Chrome alleen DNS via HTTPS als de huidige DNS-server van het systeem dit ondersteunt.
Met andere woorden, als u Comcast als internetprovider heeft en Comcast weigert DoH te ondersteunen, werkt Chrome zoals het nu doet zonder uw DNS-zoekopdrachten te versleutelen. Als je een andere DNS-server hebt geconfigureerd – misschien heb je gekozen voor Cloudflare DNS, Google Public DNS of OpenDNS, of misschien ondersteunen de DNS-servers van je ISP DoH – Chrome gebruikt codering om met je huidige DNS-server te praten, waarbij de verbinding. Gebruikers kunnen ervoor kiezen om over te stappen van DNS-providers die geen DoH aanbieden, zoals die van Comcast, maar Chrome doet dit niet automatisch.
Dit betekent ook dat alle content-filteroplossingen die DNS gebruiken, niet worden onderbroken. Als u OpenDNS gebruikt en bepaalde websites configureert om te worden geblokkeerd, laat Chrome OpenDNS als uw standaard DNS-server en verandert er niets.
Firefox werkt een beetje anders. Mozilla heeft gekozen voor Cloudflare als de versleutelde DNS-provider van Firefox in de VS. Zelfs als je een andere DNS-server hebt geconfigureerd, zal Firefox je DNS-verzoeken naar Cloudflare’s 1.1.1.1 DNS-server sturen. Firefox laat je dit uitschakelen of een aangepaste gecodeerde DNS-provider gebruiken, maar Cloudflare is de standaard.
Microsoft zegt dat DNS via HTTPS in Windows 10 op dezelfde manier werkt als Chrome. Windows 10 zal uw standaard DNS-server gehoorzamen en DoH alleen inschakelen als uw DNS-server naar keuze dit ondersteunt. Microsoft zegt echter dat het “privacy-minded Windows-gebruikers en -beheerders” naar DNS-serverinstellingen zal leiden.
Windows 10 kan u aanmoedigen om DNS-servers over te schakelen naar een server die is beveiligd met DoH, maar Microsoft zegt dat Windows de overstap niet voor u zal maken.