DNS via HTTPS
DNS over HTTPS (DoH) is een protocol voor het uitvoeren van externe Domain Name System (DNS) -resolutie via het HTTPS-protocol. Een doel van de methode is om de privacy en veiligheid van gebruikers te vergroten door afluisteren en manipulatie van DNS-gegevens door man-in-the-middle-aanvallen te voorkomen door het HTTPS-protocol te gebruiken om de gegevens tussen de DoH-client en de DoH-gebaseerde te versleutelen. DNS-resolver. Versleuteling op zichzelf beschermt de privacy niet, versleuteling is gewoon een methode om de gegevens te verdoezelen. In maart 2018 waren Google en de Mozilla Foundation begonnen met het testen van versies van DNS via HTTPS. In februari 2020 lanceerde Mozilla een versie van Firefox die standaard domeinnamen codeert voor in de VS gevestigde gebruikers.
Naast het verbeteren van de beveiliging, is een ander doel van DNS via HTTPS het verbeteren van de prestaties: het testen van ISP DNS-resolvers heeft aangetoond dat velen vaak trage responstijden hebben, een probleem dat wordt verergerd door de noodzaak om mogelijk veel hostnamen te moeten oplossen bij het laden van een enkele webpagina.
Technische details
DoH is een voorgestelde standaard, gepubliceerd als RFC 8484 (oktober 2018) door de IETF. Het gebruikt HTTP / 2 en HTTPS en ondersteunt de DNS-responsgegevens van het draadformaat, zoals geretourneerd in bestaande UDP-reacties, in een HTTPS-payload met de MIME-type applicatie / dns-bericht. Als HTTP/2 wordt gebruikt, kan de server ook HTTP/2-server push gebruiken om waarden te verzenden waarvan hij verwacht dat de client deze vooraf nuttig kan vinden.
DoH is een work in progress. Hoewel de IETF RFC 8484 als voorgestelde norm heeft gepubliceerd en bedrijven ermee experimenteren, moet de IETF nog bepalen hoe deze het beste kan worden geïmplementeerd. De IETF evalueert een aantal benaderingen voor de beste inzet van DoH en wil een werkgroep, Adaptive DNS Discovery (ADD), opzetten om dit werk te doen en een consensus te bereiken. Bovendien zijn andere werkgroepen in de branche, zoals het Encrypted DNS Deployment Initiative, opgericht om “DNS-encryptietechnologieën te definiëren en toe te passen op een manier die de voortdurende hoge prestaties, veerkracht, stabiliteit en beveiliging van de cruciale naamruimte en naamomzettingsdiensten van internet garandeert. en zorgen voor de voortdurende onaangetaste functionaliteit van beveiligingsmaatregelen, ouderlijk toezicht en andere diensten die afhankelijk zijn van de DNS “.
Veel problemen met het correct implementeren van DoH worden nog steeds opgelost door de internetgemeenschap, inclusief maar niet beperkt tot:
- Ouderlijk toezicht en inhoudfilters
- Split DNS in ondernemingen
- CDN-lokalisatie
- Interoperabiliteit met 5G-netwerken
Implementatiescenario’s
DoH wordt gebruikt voor recursieve DNS-resolutie door DNS-resolvers. Resolvers (DoH-clients) moeten toegang hebben tot een DoH-server die een query-eindpunt host.
DoH mist native ondersteuning in besturingssystemen. Dus een gebruiker die het wil gebruiken, moet aanvullende software installeren. Er zijn drie gebruiksscenario’s:
- Een DoH-implementatie gebruiken binnen een applicatie: Sommige browsers hebben een ingebouwde DoH-implementatie en kunnen dus zoekopdrachten uitvoeren door de DNS-functionaliteit van het besturingssysteem te omzeilen. Een nadeel is dat een toepassing de gebruiker mogelijk niet informeert als het DoH-zoekopdrachten overslaat, hetzij door een verkeerde configuratie of door een gebrek aan ondersteuning voor DoH.
- Een DoH-proxy installeren op de naamserver in het lokale netwerk: In dit scenario blijven clientsystemen traditionele (poort 53 of 853) DNS gebruiken om de naamserver in het lokale netwerk te bevragen, die vervolgens via DoH de nodige antwoorden verzamelt door te bereiken DoH-servers op het internet. Deze methode is transparant voor de eindgebruiker.
- Een DoH-proxy installeren op een lokaal systeem: in dit scenario zijn besturingssystemen geconfigureerd om een lokaal actieve DoH-proxy te bevragen. In tegenstelling tot de eerder genoemde methode, moet de proxy worden geïnstalleerd op elk systeem dat DoH wil gebruiken, wat in grotere omgevingen veel inspanning kan vergen.
- Een DoH-oplossingsplug-in installeren voor het besturingssysteem
In al deze scenario’s bevraagt de DoH-client niet rechtstreeks gezaghebbende naamservers. In plaats daarvan vertrouwt de client op de DoH-server met behulp van traditionele (poort 53 of 853) query’s om uiteindelijk gezaghebbende servers te bereiken. Dus DoH kwalificeert niet als een end-to-end versleuteld protocol, alleen hop-to-hop versleuteld en alleen als DNS over TLS consistent wordt gebruikt.
Openbare DNS-servers die DoH gebruiken
DNS via HTTPS-serverimplementaties zijn al gratis beschikbaar bij sommige openbare DNS-providers. Zie openbare recursieve naamserver voor een overzicht.
Ondersteuning voor besturingssysteem
In november 2019 kondigde Microsoft plannen aan om ondersteuning voor gecodeerde DNS-protocollen in Microsoft Windows te implementeren, te beginnen met DoH.
Kritiek
Technologiejournalisten hebben betoogd dat DoH een vals gevoel van veiligheid biedt, omdat het alleen informatie codeert die nog kan worden verkregen via niet-gecodeerde delen van HTTPS-verzoeken, zoals IP-adressen en Servernaam-indicatie. Bovendien zijn DoH-implementaties in webbrowsers momenteel afhankelijk van externe DNS-providers, wat in strijd is met het gedecentraliseerde karakter van DNS en mogelijk privacy-implicaties heeft. OpenBSD heeft DoH standaard uitgeschakeld in hun builds van Firefox vanwege het gebruik van Cloudflare-services voor deze functie. Chrome zal DoH alleen gebruiken als bekend is dat de door de gebruiker gekozen DNS-provider het ondersteunt, hoewel het beschuldigd werd door Amerikaanse ISP’s dat het de implementatie gebruikte om gebruikers naar zijn Google Public DNS-service te dwingen.
De DNS-server die door internetproviders is toegewezen, bevindt zich doorgaans in het land waar de gebruiker woont en bevindt zich dus in hetzelfde rechtsgebied. DNS via HTTPS geïmplementeerd in browsers gebruikt vanaf mei 2020 uitsluitend DOH-servers die worden gehost door Amerikaanse bedrijven. Vanwege de Amerikaanse wetgeving die zich uitstrekt tot alle servers die worden beheerd door Amerikaanse bedrijven, ongeacht de fysieke locatie van de gegevens, hebben niet-Amerikaanse personen die dergelijke diensten gebruiken mogelijk minder privacybescherming dan wat hun eigen land zou bieden.
DoH kan de analyse en monitoring van DNS-verkeer voor cyberveiligheidsdoeleinden belemmeren; de 2019 DDoS-worm Godula gebruikte DoH om verbindingen met zijn command-and-control-server te maskeren. Er wordt beweerd dat DoH content-control software en enterprise DNS-beleid zou kunnen omzeilen.
De Internet Watch Foundation en de Internet Service Providers Association (ISPA) – een branchevereniging die Britse ISP’s vertegenwoordigt – bekritiseerden Mozilla, ontwikkelaar van de Firefox-webbrowser en Google – voor het ondersteunen van DoH, omdat zij van mening zijn dat het webblokkeringsprogramma’s in de land, inclusief standaardfiltering door ISP van inhoud voor volwassenen, en verplichte filtering door de rechter van schendingen van auteursrechten. De ISPA heeft Mozilla genomineerd voor zijn prijs ‘Internet Villain’ voor 2019 (naast de EU-richtlijn inzake auteursrecht in de digitale eengemaakte markt en Donald Trump) ‘voor hun voorgestelde aanpak om DNS-over-HTTPS zo in te voeren dat het wordt omzeild Britse filterverplichtingen en ouderlijk toezicht, waardoor de internetveiligheidsnormen in het VK worden ondermijnd. ” Mozilla reageerde op de aantijgingen van de ISPA, met het argument dat het filtering niet zou voorkomen, en dat ze “verrast en teleurgesteld waren dat een branchevereniging voor ISP’s besloot een verbetering van de tientallen jaren oude internetinfrastructuur verkeerd voor te stellen”. Als reactie op de kritiek verontschuldigde de ISPA zich en trok de voordracht in. Mozilla verklaarde vervolgens dat DoH niet standaard zal worden gebruikt op de Britse markt tot verdere bespreking met relevante belanghebbenden, maar zei dat het “echte beveiligingsvoordelen zou bieden aan Britse burgers”.
Software-ondersteuning
Firefox
In 2018 werkte Mozilla samen met Cloudflare om DoH te leveren aan gebruikers die dit mogelijk maken. Firefox 73 heeft nog een resolver toegevoegd in de opties, NextDNS. Op 25 februari 2020 begon Firefox DNS via HTTPS in te schakelen voor alle in de VS gevestigde gebruikers, vertrouwend op de Cloudflare-resolver.
YogaDNS
Initex, de ontwikkelaar van de Proxifier-app, maakte in 2019 de eerste bètarelease van YogaDNS voor Windows. In 2020 bevindt het zich nog in de bètafase. Het omvat systeembrede ondersteuning voor DNS via HTTPS, DNS via TCP en beveiligde dns (ssdns). Extra functies zijn het toevoegen van hosts-bestand, inloggen op scherm en bestand, het gebruik van meerdere DNS-servers tegelijk en het maken van regels over welke domeinen moeten worden opgelost over welke server met prioriteitsvermogen. Deze app werkt alleen op Windows 7 en hoger.
Acryl DNS-proxy
In 2019 heeft Acrylic ondersteuning voor DoH toegevoegd naast de bestaande ondersteuning voor DNS via TCP, UDP en SOCKS5. De app is beschikbaar in een installeerbare en draagbare editie. Deze app werkt op Windows XP en hoger.
Opera
Opera heeft, net als Chrome, de mogelijkheid voor DoH toegevoegd, configureerbaar via opera: /// vlaggen url. Dit bevindt zich echter nog in de bètafase, maar is onstabiel.
Chrome
Chrome heeft DoH configureerbaar toegevoegd via chrome: /// vlaggen, dit bevindt zich echter nog in de bèta- of instabiele fase. Ik weet niet zeker of het zal werken.
Nebulo
Nebulo is een app voor DoH-ondersteuning voor Android. Het werkt als een VPN-service-app, net als veel DNS- en VPN-apps. Het bevindt zich nog in de bètafase.
Links:
DNS over HTTPS