Dns over https: Alles wat je wil weten
Recentelijk is er een nieuw protocol opgekomen om dns-aanvragen te versleutelen: dns over https, ook wel eens afgekort tot DoH. In dit artikel gaan we dieper op de techniek in en leggen we uit hoe je er mee aan de slag gaat.
Dns over https volgt dns over tls op. Lees in dit eerdere artikel meer over dns over tls en wat dns eigenlijk precies is. Dns over hhtps is in oktober 2018 als IETF-standaard aangenomen (RFC 8484). Ook hier zegt de naam wat het protocol doet: dns-aanvragen worden in normale https-pakketten ingekapseld.
Dat lijkt op het eerste gezicht wel heel erg op dns over tls, want https is gewoon http over tls. Wat maakt die http tussen de dns en tls dan uit? Een oppervlakkige lezing hiervan zou je kunnen doen denken dat DoH gewoon meer overhead toevoegt dan DoT omdat er een extra http-laag tussenzit. Maar niets is minder waar: door van https gebruik te maken, op tcp-poort 443, is het DoH-verkeer door buitenstaanders niet te onderscheiden van normale bezoekjes aan een website.
En het is dan ook niet te blokkeren zonder alle webverkeer te blokkeren. Terwijl een hotel eenvoudig DoT op zijn netwerk kan uitschakelen door tcp-poort 853 in zijn firewall te blokkeren, is dat met DoH niet mogelijk, want als je poort 443 blokkeert, maak je 80 procent van het web onbruikbaar.
Nadelen dns over https
Het belangrijkste voordeel van DoH (niet van ander https-verkeer te onderscheiden) is tegelijk ook het belangrijkste nadeel, en een vaak gehoord punt van kritiek. Netwerkbeheerders hebben daardoor immers geen enkel inzicht meer in het dns-gebruik op hun netwerk, wat het hen moeilijker maakt om problemen op te lossen. Bovendien kun je dan op het bedrijfsnetwerk ook geen kwaadaardige websites meer blokkeren via dns.
Ook bij je thuis kan dit voor problemen zorgen, bijvoorbeeld als je een dns-filter geïnstalleerd hebt om te filteren wat voor websites je kinderen te zien mogen krijgen. Met DoH kan gelijk welke toepassing de door het besturingssysteem of netwerk ingestelde dns-server omzeilen en je kunt daar niets aan doen. Elke toepassing kan bovendien zijn eigen dns-server instellen. Dat maakt het moeilijk om netwerkbrede configuraties te verplichten.
Dns over https gebruiken
DoH is nog nieuwer dan DoT en het zal je dan misschien ook niet verbazen dat besturingssystemen deze techniek standaard nog niet ondersteunen. Je kunt het beste een DoH-dns-resolver op je router draaien als je DoH wilt gebruiken. Dat kan bijvoorbeeld met cloudflared of dnscrypt-proxy.
Als dat niet mogelijk is, ben je in de praktijk voorlopig afhankelijk van DoH-ondersteuning door specifieke toepassingen. Mozilla is het verst gevorderd met client-ondersteuning; in recente versies van Firefox kun je DoH eenvoudig inschakelen.
In Firefox vind je de instellingen voor DoH als je in de adresbalk about:config typt en vervolgens in het zoekvenster bovenin de pagina die dan verschijnt network.trr typt. Trr staat voor Trusted Recursive Resolver. Met network.trr.mode bepaal je de modus waarin DoH gebruikt wordt. Bij de standaardmodus 0 is DoH uitgeschakeld, bij 1 gebruikt Firefox de snelste van DoH of standaard dns, bij 2 gebruikt de browser DoH als het kan maar met standaard dns als fallback, met 3 gebruikt Firefox altijd alleen DoH, met 4 wordt standaard dns gebruikt maar loopt DoH voor informatieve doeleinden mee in een schaduwproces en met 5 geef je expliciet aan dat je DoH uitgeschakeld wilt houden.
Bij network.trr.uri staat standaard https://mozilla.cloudflare-dns.com/dns-query ingevuld, een server van Cloudflare waarvoor Mozilla een speciale overeenkomst heeft zodat die de privacy van de gebruikers zoveel mogelijk waarborgt. Je kunt hier ook een andere url invullen. Tot slot dien je in network.trr.bootstrapAddress het ip-adres van de DoH-server in te vullen als je als uri een domein gebruikt. Daarna zie je op de pagina about:networking (intypen in het Firefox-adresveld) in het tabblad DNS bij alle dns-aanvragen naar deze DoH-server in de kolom TRR de waarde true staan.
Overigens kun je DoH ook in de netwerkinstellingen van Firefox inschakelen (Bewerken / Voorkeuren / Netwerkinstellingen / Instellingen… / DNS over HTTPS inschakelen), maar de modus kun je daar niet kiezen: Firefox stelt de opportunistische en dus niet zo veilige modus 2 in.
Bromite op Android
Op Android is er DoH-ondersteuning in Bromite, de fork van Chromium met privacyverbeteringen. Je schakelt het in op de pagina chrome://flags en krijgt dan de keuze uit Google, Cloudflare of Quad9 als DoH-server. Het curl-project houdt overigens een lijst van publiek beschikbare DoH-servers bij. Daarop staan onder andere Cloudflare, Quad9, Google (nog experimenteel) en SecureDNS van de Nederlandse beveiligingsspecialist Rick Lahaye.