What’s next in making Encrypted DNS-over-HTTPS the Default

In 2017, Mozilla began working on the DNS-over-HTTPS (DoH) protocol, and since June 2018 we’ve been running experiments in Firefox to ensure the performance and user experience are great. We’ve also been surprised and excited by the more than 70,000 users who have already chosen on their own to explicitly enable DoH in Firefox Release edition. We are close to releasing DoH in the USA, and we have a few updates to share.

After many experiments, we’ve demonstrated that we have a reliable service whose performance is good, that we can detect and mitigate key deployment problems, and that most of our users will benefit from the greater protections of encrypted DNS traffic. We feel confident that enabling DoH by default is the right next step. When DoH is enabled, users will be notified and given the opportunity to opt out.

This post includes results of our latest experiment, configuration recommendations for systems administrators and parental controls providers, and our plans for enabling DoH for some users in the USA.

...

Plans for Enabling DoH Protections by Default

We plan to gradually roll out DoH in the USA starting in late September. Our plan is to start slowly enabling DoH for a small percentage of users while monitoring for any issues before enabling for a larger audience. If this goes well, we will let you know when we’re ready for 100% deployment. For the moment, we encourage enterprise administrators and parental control providers to check out our config documentation and get in touch with any questions.

meer ...

Sinds versie 62.0 ondersteunt Firefox “DNS over HTTPS” (‘DoH’).

Een uitleg in Jip-en-Janneke taal (met plaatjes) vind je hier:
https://hacks.mozilla.org/2018/05/a-cartoon-intro-to-dns-over-https/

Google test dns-over-https bij Chrome met zes dns-providers

Google experimenteert met dns-over-https bij Chrome 78 op desktop en mobiel met in eerste instantie zes dns-providers, waaronder Google zelf. Als de dns-aanbieder van de gebruiker op de lijst staat, schakelt de browser automatisch over naar dns-over-https.

De dns-providers waarmee Google samenwerkt, zijn Cleanbrowsing, Cloudflare, DNS.SB, OpenDNS en Quad9. Deze zijn volgens het bedrijf gekozen vanwege hun ferme standpunt op het gebied van privacy en beveiliging, en hun compatibiliteit op het gebied van dns-over-https, of doh. Niet bekend is of Google de lijst wil uitbreiden. Het Nederlandse PowerDNS staat bijvoorbeeld niet op de lijst.

Bij de implementatie van Google kijkt de browser of de dns-aanbieder van de gebruiker op de lijst staat om van een doh-dienst gebruik te kunnen maken. Is dat niet het geval, dan verloopt de verbinding als vanouds. Omdat Chrome de standaard ingestelde dns-provider verkiest en alleen dns-over-https activeert als die provider dit aanbiedt, ervaren gebruikers geen problemen met door de aanbieder aangeboden functies voor parenting control en malwarebescherming, aldus Google.

meer ...

Applications don't manage the network

As somebody who's been working for internet security over 20 years, we strongly believe that applications should not choose the DNS server. The operating system is designed to manage DNS and network settings for all applications. If other applications follow the footsteps of Mozilla only huge chaos is waiting for us. Just imagine the pure mess if you get different DNS results in different applications. Or even one step further, imagine applications implementing their own IP stack, maybe with different addresses, routing, etc. The chaos will be a perfect Trump made Internet.

A possibly good idea but very wrong approach

DoH and DoT (DNS over TLS) are in general good technologies as they add encryption to an important process of daily life. However the approach Mozilla takes is simply wrong. The correct way would be to standardise DoH and DoT and add support into it into automatic address configurations and operating systems. Not in applications!

https://ungleich.ch/en-us/cms/blog/2019/09/11/turn-off-doh-firefox/

Dns-over-https: vloek of zegen?
Meningen verdeeld over encryptie dns-queries

Dns wordt ook wel 'the last unencrypted mile' van het internet genoemd: het laatste stukje dat een internetpakketje aflegt voordat het een website voorschotelt. Uitgerekend dat stukje internet wordt volledig in plaintext verstuurd. Het versleutelen van dns-verzoeken levert namelijk meer problemen op dan je misschien zou denken.

Je zou het bijna vergeten, maar er was een tijd dat we al onze WhatsApp-berichtjes over een onversleutelde verbinding verstuurden, waarbij iedereen die tussen zender en ontvanger in zat, zomaar kon meelezen wat je schreef. Pas een half jaar ná de overname door Facebook voegde WhatsApp eind-tot-eindversleuteling toe aan de app. Daarvóór gingen al die miljoenen berichtjes over en weer gewoon in plain text door de ether, leesbaar voor iedereen.

meer ...

Microsoft gaat dns-over-https toevoegen aan Windows

Microsoft gaat dns-over-https implementeren in Windows. Versleutelde dns-verbindingen worden standaard ingeschakeld in de dns-client van het besturingssyssteem. Dat gebeurt niet voor gebruikers die eigen dns-instellingen hebben ingesteld.

Bij dns-over-https worden dns-queries versleuteld om ze anoniem te houden. Steeds meer browser- en softwaremakers werken daaraan. Zo maakt Firefox standaard gebruik van Cloudfare als DoH-proxy, en Google doet dat dat met verschillende providers voor Chrome. Microsoft was altijd een van de partijen die daarin tot nu toe weinig stelling nam. Het bedrijf heeft nu plannen aangekondigd om DoH naar Windows te brengen. Het bedrijf wil daarvoor verschillende dns-providers gebruiken 'zodat het protocol gedecentraliseerd blijft'.

Microsoft voert de implementatie van DoH in stappen uit. De eerste stap is dat alle dns-verzoeken standaard via DoH worden verstuurd waar dat mogelijk is. Gebruikers die hun dns-instellingen niet zelf aanpassen gebruiken automatisch de dns-instellingen van hun provider. Als die DoH ondersteunt, wordt dat bij de gebruiker ook doorgevoerd. Op die manier hoopt Microsoft dat de privacyelementen van dns-over-https worden doorgevoerd voor gewone gebruikers, zonder dat andere gebruikers met specifieke wensen over hun dns-configuratie daar last van hebben.

meer ...

Mozilla voegt NextDNS toe aan Firefox als tweede dns-over-https-resolver

Mozilla heeft NextDNS als tweede dns-over-https-provider toegevoegd aan Firefox. Daarmee wil de browsermaker internetters meer keus geven voor het versleutelen van hun internetverkeer. Tot nu toe werd alleen Cloudflare standaard voorgesteld als provider.

...

Met het toevoegen van NextDNS als alternatief voor Cloudflare reageert Mozilla op de kritiek van veel gebruikers. Die waren niet blij met het feit dat alle dns-verzoeken via het Amerikaanse Cloudflare liepen. Die centralisatie van dns-queries via een commercieel bedrijf kwam Mozilla op kritiek te staan, iets dat het bedrijf nu erkent. "Voor de meeste gebruikers is het moeilijk te zeggen waar hun dns-verzoeken heen gaan en wat de resolver daarmee doet", schrijft het bedrijf in een blogpost. "Met het Trusted Recursive Resolver-programma kan Mozilla eisen dat dns-providers goede privacyvoorwaarden hebben voor zij zich aansluiten."

meer ...

Mozilla zet dns-over-https standaard aan voor Amerikaanse Firefox-gebruikers

Firefox is begonnen met de uitrol van dns-over-https voor Amerikaanse gebruikers. De browserontwikkelaar wil de feature in de toekomst standaard aanzetten voor alle gebruikers. Voorlopig zijn Cloudflare en NextDNS de beschikbare providers.

Mozilla gaat de functie in de komende weken uitrollen, schrijft het bedrijf in een blogpost. Daarbij wordt vooral goed gekeken naar eventuele verbindingsproblemen. Zakelijke gebruikers met een eigen dns-resolver hebben daar bijvoorbeeld mogelijk last van. In de toekomst wil Mozilla dns-over-https, of DoH, standaard aanzetten voor alle gebruikers.

Cloudflare is de provider die daarvoor automatisch aanstaat. Gebruikers kunnen in de instellingen ook kiezen om dns-resolver van NextDNS in te stellen. Beide bedrijven zijn 'trusted resolvers'. Dat betekent dat ze voldoen aan bepaalde eisen die Mozilla stelt op gebieden als veiligheid en snelheid. NextDNS werd eind vorig jaar toegevoegd aan het Trusted Recursive Resolver-programma. Ook internationale gebruikers kunnen de twee providers kiezen als DoH-resolver, of ze kunnen een eigen dns instellen.

meer ...

Microsoft implementeert dns-over-https in Insider Previews van Windows 10

Microsoft maakt dns-over-https voor het eerst beschikbaar in Windows 10. Het bedrijf kondigde vorig jaar al aan dat het DoH in het besturingssysteem zou implementeren. Een eerste testversie is nu beschikbaar in een Insider Preview.

meer ...

Chrome rolt dns-over-https uit

Google begint de komende tijd ook met de uitrol van dns-over-https of DoH. Daarbij worden dns-queries versleuteld via ssl. Chrome kijkt dan eerst of de huidige dns-provider dns-over-https aanbiedt. In dat geval wordt DoH automatisch ingezet. Anders blijven de bestaande dns-instellingen actief.

meer ...

MacOS 11 en iOS 14 ondersteunen dns-over-https en dns-over-tls

De aankomende versies van iOS en macOS krijgen ondersteuning voor dns-over-https en dns-over-tls. Appontwikkelaars kunnen de protocollen toevoegen aan hun applicaties, of nieuwe apps maken waardoor DoH en DoT voor het hele besturingssysteem gelden.

Apple zei deze week tijdens zijn ontwikkelaarsconferentie WWDC dat het van plan is de aankomende versies van het mobiele en desktopbesturingssysteem van de functie te voorzien. MacOS 11 en iOS 14 komen in de herfst uit. Ze ondersteunen dan dus dns-over-https en dns-over-tls als opties om domain name system-verkeer te versleutelen, schrijft ZDnet.

De optie voor DoH en DoT zit niet standaard in de besturingssystemen, maar ontwikkelaars kunnen wel software bouwen waarmee dat mogelijk is via mobile device management-profielen of netwerkextensies. Dat kunnen bijvoorbeeld dns-providers zoals Cloudflare doen. Ook kunnen ontwikkelaars dns-over-https of -tls voor hun eigen apps instellen. Dat laatste moet volgens Apple wel opt-in worden.

meer ...

Dns over https maakt internet veiliger, maar tegen welke prijs?

Het versleutelen van dns-verkeer is nuttig, maar ook controversieel. De beslissing van Mozilla om dns-over-https (doh) als standaard in te stellen voor de Firefox-browser werd zeker niet overal met gejuich ontvangen. SIDN, beheerder van het .nl-domein en voorvechter van een veiliger internet, kijkt kritisch naar de trend en geeft daarnaast iedereen de gelegenheid om zelf met doh te experimenteren.

Doh maakt online gaan in principe een stukje veiliger en draagt bij aan de privacybescherming van internetgebruikers, maar de gevolgen voor het domain name system (dns) zijn mogelijk ingrijpend. Verschillende grote techbedrijven hebben aangekondigd dat het op hun roadmap staat, en een aantal is al bezig met de implementatie, waaronder Google, Apple en Microsoft. Maar het is Mozilla dat met Firefox kiest voor de meest agressieve uitrol. Mozilla gebruikt doh als standaard in de Firefox-browser, waardoor deze dns-verzoeken afhandelt via door Firefox vertrouwde partijen in de VS. Een beslissing die overigens inmiddels alweer deels is teruggedraaid (doh is alleen voor gebruikers in de VS als standaard ingesteld). Toch blijven er in de wereldwijde internetgemeenschap zorgen over de implicaties.

meer ...

Mozilla begint consultatie voor implementatie van dns-over-https in Firefox

Mozilla gaat een onderzoek houden onder gebruikers naar het gebruik van dns-over-https in de browser Firefox. Gebruikers kunnen ideeën en voorstellen indienen over de implementatie daarvan. Met name de implementatie van DoH is vaak nog controversieel.

Gebruikers van de browser kunnen vanaf donderdag hun ideeën insturen door ze naar Mozilla te e-mailen. De consultatieperiode duurt 45 dagen, tot 4 januari volgend jaar. Mozilla zegt dat iedereen een beleidsvisie op mag sturen, zowel gebruikers als betrokken partijen. Het bedrijf heeft een lijst met vragen opgesteld waar het zelf specifiek antwoord op wil, bijvoorbeeld over de manier waarop dns-over-https wordt geïmplementeerd in een bedrijfsomgeving, en of gebruikers hun DoH-provider meer vertrouwen dan een isp. Het is niet verplicht die vragen te beantwoorden, maar die gaan wel over de belangrijkste obstakels rondom het onderwerp.

Bij dns-over-https worden queries naar het domain name system versleuteld met een https-verbinding. Dat is in theorie privacyvriendelijker, omdat providers bijvoorbeeld niet meer in plaintext kunnen zien waar een gebruiker naartoe surft. Van de andere kant wordt er bij de implementatie vaak gebruikgemaakt van een externe provider, bijvoorbeeld Cloudflare of Quad9. Dat zijn commerciële, Amerikaanse partijen met hun eigen verdienmodellen. Privacyexperts zijn daarom kritisch op de plannen.

meer ...