Veiliger surfen met encrypted DNS (‘DoH’)
geplaatst: 7 juli 2019 - 09:50
Sinds versie 62.0 ondersteunt Firefox “DNS over HTTPS” (‘DoH’).

Een uitleg in Jip-en-Janneke taal (met plaatjes) vind je hier:
https://hacks.mozilla.org/2018/05/a-cartoon-intro-to-dns-over-https/

Meer info:
https://blog.nightly.mozilla.org/2018/06/01/improving-dns-privacy-in-firefox/
https://datatracker.ietf.org/meeting/102/materials/slides-102-driu-wheres-my-dns-00


Ik heb niet kunnen vinden of en/of wanneer Apple/Safari dit gaat ondersteunen.
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #1 geplaatst: 8 juli 2019 - 23:34
Interessant leesvoer! Dankjewel.
Zou mooi zijn als Safari dat ook gaat ondersteunen.
geplaatst door: arnoudk
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #2 geplaatst: 7 september 2019 - 08:18
https://blog.mozilla.org/futurereleases/2019/09/06/whats-next-in-making-dns-over-https-the-default/

Citaat

What’s next in making Encrypted DNS-over-HTTPS the Default

In 2017, Mozilla began working on the DNS-over-HTTPS (DoH) protocol, and since June 2018 we’ve been running experiments in Firefox to ensure the performance and user experience are great. We’ve also been surprised and excited by the more than 70,000 users who have already chosen on their own to explicitly enable DoH in Firefox Release edition. We are close to releasing DoH in the USA, and we have a few updates to share.

After many experiments, we’ve demonstrated that we have a reliable service whose performance is good, that we can detect and mitigate key deployment problems, and that most of our users will benefit from the greater protections of encrypted DNS traffic. We feel confident that enabling DoH by default is the right next step. When DoH is enabled, users will be notified and given the opportunity to opt out.

This post includes results of our latest experiment, configuration recommendations for systems administrators and parental controls providers, and our plans for enabling DoH for some users in the USA.

...

Plans for Enabling DoH Protections by Default

We plan to gradually roll out DoH in the USA starting in late September. Our plan is to start slowly enabling DoH for a small percentage of users while monitoring for any issues before enabling for a larger audience. If this goes well, we will let you know when we’re ready for 100% deployment. For the moment, we encourage enterprise administrators and parental control providers to check out our config documentation and get in touch with any questions.

meer ...
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #3 geplaatst: 7 september 2019 - 15:51
Sinds versie 62.0 ondersteunt Firefox “DNS over HTTPS” (‘DoH’).

Een uitleg in Jip-en-Janneke taal (met plaatjes) vind je hier:
https://hacks.mozilla.org/2018/05/a-cartoon-intro-to-dns-over-https/


Fantastische Jip & Janneke uitleg!

Beantwoordt helaas niet mijn eerste vraag toen ik dit artikel las: "Waarom zou de browser dat moeten doen en niet je OS?"

Op zich dus mooi dat Firefox hier mee bezig is, maar het lijkt me beter en logischer als macOS deze techniek zou gebruiken in de DNS-resolver.
geplaatst door: jaco123
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #4 geplaatst: 7 september 2019 - 15:58
Ja er zijn meer mensen die dat denken (zie link hieronder). En wie weet, wordt dit binnenkort onderdeel van macOS. Dan hebben álle web-enabled programma’s (en dat zijn er steeds meer) er baat bij.

Discussie op HN.
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #5 geplaatst: 8 september 2019 - 09:14
Goede uitleg, altijd onder de indruk als techneuten toch nog in normale taal kunnen spreken of schrijven.

En ondersteuning hiervoor in macOS zou heel erg welkom zijn.
geplaatst door: anraadts
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #6 geplaatst: 8 september 2019 - 14:55
Mooi en duidelijk Jip en Janneke uitgelegd! En ook voor ons EU inwoners een veilig idee dat het voldoet aan de GDPR regels.
geplaatst door: MacFrankie
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #7 geplaatst: 11 september 2019 - 19:30
Gerelateerd.

https://tweakers.net/nieuws/157192/google-test-dns-over-https-bij-chrome-met-zes-dns-providers.html

Citaat

Google test dns-over-https bij Chrome met zes dns-providers

Google experimenteert met dns-over-https bij Chrome 78 op desktop en mobiel met in eerste instantie zes dns-providers, waaronder Google zelf. Als de dns-aanbieder van de gebruiker op de lijst staat, schakelt de browser automatisch over naar dns-over-https.

De dns-providers waarmee Google samenwerkt, zijn Cleanbrowsing, Cloudflare, DNS.SB, OpenDNS en Quad9. Deze zijn volgens het bedrijf gekozen vanwege hun ferme standpunt op het gebied van privacy en beveiliging, en hun compatibiliteit op het gebied van dns-over-https, of doh. Niet bekend is of Google de lijst wil uitbreiden. Het Nederlandse PowerDNS staat bijvoorbeeld niet op de lijst.

Bij de implementatie van Google kijkt de browser of de dns-aanbieder van de gebruiker op de lijst staat om van een doh-dienst gebruik te kunnen maken. Is dat niet het geval, dan verloopt de verbinding als vanouds. Omdat Chrome de standaard ingestelde dns-provider verkiest en alleen dns-over-https activeert als die provider dit aanbiedt, ervaren gebruikers geen problemen met door de aanbieder aangeboden functies voor parenting control en malwarebescherming, aldus Google.

meer ...
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #8 geplaatst: 12 september 2019 - 07:53
https://ungleich.ch/en-us/cms/blog/2019/09/11/turn-off-doh-firefox/

Citaat

Applications don't manage the network

As somebody who's been working for internet security over 20 years, we strongly believe that applications should not choose the DNS server. The operating system is designed to manage DNS and network settings for all applications. If other applications follow the footsteps of Mozilla only huge chaos is waiting for us. Just imagine the pure mess if you get different DNS results in different applications. Or even one step further, imagine applications implementing their own IP stack, maybe with different addresses, routing, etc. The chaos will be a perfect Trump made Internet.

A possibly good idea but very wrong approach

DoH and DoT (DNS over TLS) are in general good technologies as they add encryption to an important process of daily life. However the approach Mozilla takes is simply wrong. The correct way would be to standardise DoH and DoT and add support into it into automatic address configurations and operating systems. Not in applications!

geplaatst door: puk1980
επιτέλους το κατάλαβα
geplaatst door: MacFrankie
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #10 geplaatst: 12 september 2019 - 09:49
Grappig, want ik zat de afgelopen dagen juist hierover te peinzen, en mijn bezwaar was hetzelfde.

Als apps het zelf gaan regelen krijgen we niet alleen chaos, maar mogelijk ook weer misbruik. Want als het niet gaat om open en algemeen gebruikte standaarden, wie garandeert me dan dat mijn verbinding echt encrypted DNS is, en dat er niet alsnog stiekem wordt meegekeken?
geplaatst door: anraadts
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #11 geplaatst: 12 september 2019 - 16:44
er bestaat ook nog een open source programma DNSCrypt. die regelt dit op netwerk niveau
geplaatst door: hvlint
"Computers are like airconditioners, they stop working properly when you open Windows"
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #12 geplaatst: 12 september 2019 - 18:10
De grap van DoH is dat het gebruik maakt van het standaard web-protocol (HTTPS). Dat is (volgens mij) niet het geval bij DNSCrypt.

Maar beiden proberen wel hetzelfde probleem te adresseren.
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #13 geplaatst: 14 oktober 2019 - 23:19
https://tweakers.net/reviews/7406/dns-over-https-meningen-verdeeld-over-encryptie-dns-queries.html

Citaat

Dns-over-https: vloek of zegen?
Meningen verdeeld over encryptie dns-queries

Dns wordt ook wel 'the last unencrypted mile' van het internet genoemd: het laatste stukje dat een internetpakketje aflegt voordat het een website voorschotelt. Uitgerekend dat stukje internet wordt volledig in plaintext verstuurd. Het versleutelen van dns-verzoeken levert namelijk meer problemen op dan je misschien zou denken.

Je zou het bijna vergeten, maar er was een tijd dat we al onze WhatsApp-berichtjes over een onversleutelde verbinding verstuurden, waarbij iedereen die tussen zender en ontvanger in zat, zomaar kon meelezen wat je schreef. Pas een half jaar ná de overname door Facebook voegde WhatsApp eind-tot-eindversleuteling toe aan de app. Daarvóór gingen al die miljoenen berichtjes over en weer gewoon in plain text door de ether, leesbaar voor iedereen.

meer ...
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #14 geplaatst: 18 november 2019 - 20:30
https://tweakers.net/nieuws/160060/microsoft-gaat-dns-over-https-toevoegen-aan-windows.html

Citaat

Microsoft gaat dns-over-https toevoegen aan Windows

Microsoft gaat dns-over-https implementeren in Windows. Versleutelde dns-verbindingen worden standaard ingeschakeld in de dns-client van het besturingssyssteem. Dat gebeurt niet voor gebruikers die eigen dns-instellingen hebben ingesteld.

Bij dns-over-https worden dns-queries versleuteld om ze anoniem te houden. Steeds meer browser- en softwaremakers werken daaraan. Zo maakt Firefox standaard gebruik van Cloudfare als DoH-proxy, en Google doet dat dat met verschillende providers voor Chrome. Microsoft was altijd een van de partijen die daarin tot nu toe weinig stelling nam. Het bedrijf heeft nu plannen aangekondigd om DoH naar Windows te brengen. Het bedrijf wil daarvoor verschillende dns-providers gebruiken 'zodat het protocol gedecentraliseerd blijft'.

Microsoft voert de implementatie van DoH in stappen uit. De eerste stap is dat alle dns-verzoeken standaard via DoH worden verstuurd waar dat mogelijk is. Gebruikers die hun dns-instellingen niet zelf aanpassen gebruiken automatisch de dns-instellingen van hun provider. Als die DoH ondersteunt, wordt dat bij de gebruiker ook doorgevoerd. Op die manier hoopt Microsoft dat de privacyelementen van dns-over-https worden doorgevoerd voor gewone gebruikers, zonder dat andere gebruikers met specifieke wensen over hun dns-configuratie daar last van hebben.

meer ...
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #15 geplaatst: 17 december 2019 - 18:46
https://tweakers.net/nieuws/161286/mozilla-voegt-nextdns-toe-aan-firefox-als-tweede-dns-over-https-resolver.html

Citaat

Mozilla voegt NextDNS toe aan Firefox als tweede dns-over-https-resolver

Mozilla heeft NextDNS als tweede dns-over-https-provider toegevoegd aan Firefox. Daarmee wil de browsermaker internetters meer keus geven voor het versleutelen van hun internetverkeer. Tot nu toe werd alleen Cloudflare standaard voorgesteld als provider.

...

Met het toevoegen van NextDNS als alternatief voor Cloudflare reageert Mozilla op de kritiek van veel gebruikers. Die waren niet blij met het feit dat alle dns-verzoeken via het Amerikaanse Cloudflare liepen. Die centralisatie van dns-queries via een commercieel bedrijf kwam Mozilla op kritiek te staan, iets dat het bedrijf nu erkent. "Voor de meeste gebruikers is het moeilijk te zeggen waar hun dns-verzoeken heen gaan en wat de resolver daarmee doet", schrijft het bedrijf in een blogpost. "Met het Trusted Recursive Resolver-programma kan Mozilla eisen dat dns-providers goede privacyvoorwaarden hebben voor zij zich aansluiten."

meer ...
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #16 geplaatst: 25 februari 2020 - 17:32
https://tweakers.net/nieuws/163854/mozilla-zet-dns-over-https-standaard-aan-voor-amerikaanse-firefox-gebruikers.html

Citaat

Mozilla zet dns-over-https standaard aan voor Amerikaanse Firefox-gebruikers

Firefox is begonnen met de uitrol van dns-over-https voor Amerikaanse gebruikers. De browserontwikkelaar wil de feature in de toekomst standaard aanzetten voor alle gebruikers. Voorlopig zijn Cloudflare en NextDNS de beschikbare providers.

Mozilla gaat de functie in de komende weken uitrollen, schrijft het bedrijf in een blogpost. Daarbij wordt vooral goed gekeken naar eventuele verbindingsproblemen. Zakelijke gebruikers met een eigen dns-resolver hebben daar bijvoorbeeld mogelijk last van. In de toekomst wil Mozilla dns-over-https, of DoH, standaard aanzetten voor alle gebruikers.

Cloudflare is de provider die daarvoor automatisch aanstaat. Gebruikers kunnen in de instellingen ook kiezen om dns-resolver van NextDNS in te stellen. Beide bedrijven zijn 'trusted resolvers'. Dat betekent dat ze voldoen aan bepaalde eisen die Mozilla stelt op gebieden als veiligheid en snelheid. NextDNS werd eind vorig jaar toegevoegd aan het Trusted Recursive Resolver-programma. Ook internationale gebruikers kunnen de twee providers kiezen als DoH-resolver, of ze kunnen een eigen dns instellen.

meer ...
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #17 geplaatst: 26 februari 2020 - 16:20
Ben het wel eens met het artikel op ungleich.ch, eigenlijk zot dat een applicatie dit zou moeten doen, en zelfs een slecht idee.

Lijkt me toch best dat je dat gewoon bij de bron aanpakt, en nee niet het OS maar op router niveau. Nu mijn Unifi spul ondersteund het nog niet, maar een bekend open-source pakket als pfSense kan wel DNS over TLS gebruiken.
geplaatst door: TLM
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #18 geplaatst: 14 mei 2020 - 17:48
https://tweakers.net/nieuws/167172/microsoft-implementeert-dns-over-https-in-insider-previews-van-windows-10.html

Citaat

Microsoft implementeert dns-over-https in Insider Previews van Windows 10

Microsoft maakt dns-over-https voor het eerst beschikbaar in Windows 10. Het bedrijf kondigde vorig jaar al aan dat het DoH in het besturingssysteem zou implementeren. Een eerste testversie is nu beschikbaar in een Insider Preview.

meer ...


Nu MacOS nog. :smile:
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #19 geplaatst: 14 mei 2020 - 19:57
Ik voel me er niet prettig bij dat een app de DNS-verzoeken afhandelt. In de OSI-lagen hoort dit op laag 3 thuis, niet in laag 7. (bron: https://nl.wikipedia.org/wiki/OSI-model#Betekenis_en_functie_van_de_afzonderlijke_lagen). Komt nog bij dat ik dan niet zelf kan bepalen welke DNS ik wil gebruiken, ik zit met DoH immers vast aan datgene wat de maker van de applicatie voor afspraken heeft gemaakt.

Ik zou DoH ook meteen uitschakelen. :thumbs-down:
geplaatst door: MackeyV40
MacBook Air mid 2012 (Intel Core i5 1,8 GHz, 4 GB, 480 gB SSD), iPhone SE 32 gB, iPad 6 (9.7 inch, 2018) 32 gB, Apple Watch Sport.
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #20 geplaatst: 19 mei 2020 - 18:54
https://tweakers.net/nieuws/167382/chrome-blokkeert-third-party-cookies-in-incognito-en-rolt-dns-over-https-uit.html

Citaat

Chrome rolt dns-over-https uit

Google begint de komende tijd ook met de uitrol van dns-over-https of DoH. Daarbij worden dns-queries versleuteld via ssl. Chrome kijkt dan eerst of de huidige dns-provider dns-over-https aanbiedt. In dat geval wordt DoH automatisch ingezet. Anders blijven de bestaande dns-instellingen actief.

meer ...
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #21 geplaatst: 26 juni 2020 - 18:17
Ja ja! :smile:

https://tweakers.net/nieuws/169002/macos-11-en-ios-14-ondersteunen-dns-over-https-en-dns-over-tls.html

Citaat

MacOS 11 en iOS 14 ondersteunen dns-over-https en dns-over-tls

De aankomende versies van iOS en macOS krijgen ondersteuning voor dns-over-https en dns-over-tls. Appontwikkelaars kunnen de protocollen toevoegen aan hun applicaties, of nieuwe apps maken waardoor DoH en DoT voor het hele besturingssysteem gelden.

Apple zei deze week tijdens zijn ontwikkelaarsconferentie WWDC dat het van plan is de aankomende versies van het mobiele en desktopbesturingssysteem van de functie te voorzien. MacOS 11 en iOS 14 komen in de herfst uit. Ze ondersteunen dan dus dns-over-https en dns-over-tls als opties om domain name system-verkeer te versleutelen, schrijft ZDnet.

De optie voor DoH en DoT zit niet standaard in de besturingssystemen, maar ontwikkelaars kunnen wel software bouwen waarmee dat mogelijk is via mobile device management-profielen of netwerkextensies. Dat kunnen bijvoorbeeld dns-providers zoals Cloudflare doen. Ook kunnen ontwikkelaars dns-over-https of -tls voor hun eigen apps instellen. Dat laatste moet volgens Apple wel opt-in worden.

meer ...
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #22 geplaatst: 16 juli 2020 - 09:04
https://tweakers.net/plan/2714/dns-over-https-maakt-internet-veiliger-maar-tegen-welke-prijs.html

Citaat

Dns over https maakt internet veiliger, maar tegen welke prijs?

Het versleutelen van dns-verkeer is nuttig, maar ook controversieel. De beslissing van Mozilla om dns-over-https (doh) als standaard in te stellen voor de Firefox-browser werd zeker niet overal met gejuich ontvangen. SIDN, beheerder van het .nl-domein en voorvechter van een veiliger internet, kijkt kritisch naar de trend en geeft daarnaast iedereen de gelegenheid om zelf met doh te experimenteren.

Doh maakt online gaan in principe een stukje veiliger en draagt bij aan de privacybescherming van internetgebruikers, maar de gevolgen voor het domain name system (dns) zijn mogelijk ingrijpend. Verschillende grote techbedrijven hebben aangekondigd dat het op hun roadmap staat, en een aantal is al bezig met de implementatie, waaronder Google, Apple en Microsoft. Maar het is Mozilla dat met Firefox kiest voor de meest agressieve uitrol. Mozilla gebruikt doh als standaard in de Firefox-browser, waardoor deze dns-verzoeken afhandelt via door Firefox vertrouwde partijen in de VS. Een beslissing die overigens inmiddels alweer deels is teruggedraaid (doh is alleen voor gebruikers in de VS als standaard ingesteld). Toch blijven er in de wereldwijde internetgemeenschap zorgen over de implicaties.

meer ...
geplaatst door: puk1980
επιτέλους το κατάλαβα
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #23 geplaatst: 16 juli 2020 - 09:34
Boeiend deze grote verandering. Ik begrijp het enthousiasme van puk1980, onversleuteld DNS verkeer kan niet meer in deze tijd. Maar - net als MackeyV40 - ben ik niet blij met de oplossing! De controle over je DNS verkeer komt nu bij meerdere andere partijen te liggen. De keuze wordt gemaakt door je browser, of een app die bepaalt waar je DNS verzoeken uitkomen. In hoeverre de gebruiker daar nog iets in te kiezen heeft is afwachten, ook dat bepalen straks andere partijen.

Ik zie nog een ander probleem: ik gebruik nu pi-hole als DNS filter voor mijn hele netwerk en dat werkt perfect. DNS verzoeken gaan eerst lang het pi-hole kastje. Als zo'n verzoek een reclame of tracker of andere zooi-site is laat pi-hole het niet door. Lekker clean browsen :thumbs-up:. Wanneer het DNS verkeer straks door je browser via HTTPS wordt afgehandeld ben je die mogelijkheid kwijt. Daarmee wordt het uitfilteren van reclame of trackers veel moeilijker voor de gebruiker? Of zou dat juist de reden zijn dat veel (commerciële...) partijen hier wél positief over zijn....
geplaatst door: boiing
antw: Veiliger surfen met encrypted DNS (‘DoH’)
reactie #24 geplaatst: 19 november 2020 - 20:42
https://tweakers.net/nieuws/174778/mozilla-begint-consultatie-voor-implementatie-van-dns-over-https-in-firefox.html

Citaat

Mozilla begint consultatie voor implementatie van dns-over-https in Firefox

Mozilla gaat een onderzoek houden onder gebruikers naar het gebruik van dns-over-https in de browser Firefox. Gebruikers kunnen ideeën en voorstellen indienen over de implementatie daarvan. Met name de implementatie van DoH is vaak nog controversieel.

Gebruikers van de browser kunnen vanaf donderdag hun ideeën insturen door ze naar Mozilla te e-mailen. De consultatieperiode duurt 45 dagen, tot 4 januari volgend jaar. Mozilla zegt dat iedereen een beleidsvisie op mag sturen, zowel gebruikers als betrokken partijen. Het bedrijf heeft een lijst met vragen opgesteld waar het zelf specifiek antwoord op wil, bijvoorbeeld over de manier waarop dns-over-https wordt geïmplementeerd in een bedrijfsomgeving, en of gebruikers hun DoH-provider meer vertrouwen dan een isp. Het is niet verplicht die vragen te beantwoorden, maar die gaan wel over de belangrijkste obstakels rondom het onderwerp.

Bij dns-over-https worden queries naar het domain name system versleuteld met een https-verbinding. Dat is in theorie privacyvriendelijker, omdat providers bijvoorbeeld niet meer in plaintext kunnen zien waar een gebruiker naartoe surft. Van de andere kant wordt er bij de implementatie vaak gebruikgemaakt van een externe provider, bijvoorbeeld Cloudflare of Quad9. Dat zijn commerciële, Amerikaanse partijen met hun eigen verdienmodellen. Privacyexperts zijn daarom kritisch op de plannen.

meer ...
geplaatst door: puk1980
επιτέλους το κατάλαβα