DNS over TLS
DNS over TLS (DoT) is een beveiligingsprotocol voor het coderen en verpakken van DNS-vragen (Domain Name System) en antwoorden via het Transport Layer Security-protocol (TLS). Het doel van de methode is om de privacy en veiligheid van gebruikers te vergroten door afluisteren en manipulatie van DNS-gegevens via man-in-the-middle-aanvallen te voorkomen.
Vanaf 2020 bieden Cloudflare, Quad9, Google, Quadrant Information Security, CleanBrowsing, LibreOps, DNSlify en Telsy openbare DNS-resolverservices via DNS over TLS. In april 2018 kondigde Google aan dat Android Pie ondersteuning zal bieden voor DNS via TLS, waardoor gebruikers een DNS-server kunnen instellen voor de hele telefoon op zowel wifi als mobiele verbindingen, een optie die historisch alleen mogelijk was op geroote apparaten. DNSDist, van PowerDNS, kondigde ook ondersteuning aan voor DNS via TLS in de nieuwste versie 1.3.0. BIND-gebruikers kunnen ook DNS via TLS leveren door het via stunnel te proxygen. Unbound ondersteunt DNS via TLS sinds 22 januari 2018. Unwind ondersteunt DoT sinds 29 januari 2019. Met Android Pie-ondersteuning voor DNS via TLS, ondersteunen sommige adblockers nu het gebruik van het gecodeerde protocol als een relatief gemakkelijke manier om toegang te krijgen tot hun services versus een van de de verschillende work-around-methoden die doorgaans worden gebruikt, zoals VPN’s en proxyservers.
Implementaties
Veel openbare recursieve servers ondersteunen DoT, maar clientsystemen moeten zich vaak aanmelden.
Android-clients met Android 9 (Pie) of nieuwer ondersteunen DNS via TLS.
Linux- en Windows-gebruikers kunnen DNS via TLS gebruiken als een client via de NLnet Labs stubby daemon of Knot Resolver. Als alternatief kunnen ze getdns-utils installeren om DoT rechtstreeks te gebruiken met de tool getdns_query.
systemd-resolved is een Linux-only implementatie die moet worden geconfigureerd om DNS via TLS te gebruiken, door /etc/systemd/resolved.conf te bewerken en de instelling DNSOverTLS in te schakelen. Bij de meeste grote Linux-distributies is systemd standaard geïnstalleerd.
personalDNSfilter is een open source DNS-filter met ondersteuning voor DoT en DoH voor Java-compatibele apparaten, waaronder Android.
Nebulo is een Open Source-applicatie voor Android die DNS via TLS en DNS via HTTPS ondersteunt.
Zie ook: