image

Mozilla vraagt Firefox-gebruikers om dns over https te testen

vrijdag 1 juni 2018, 12:17 door Redactie, 9 reacties

Mozilla vraagt Firefox-gebruikers om dns over https te testen, aangezien dit protocol de privacy van internetgebruikers vergroot. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen.

Het probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. Dns over https (DoH) moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken.

Dns-verzoeken worden door een resolver verstuurd. Het is mogelijk om die zelf in te stellen, maar de meeste internetgebruikers maken gebruik van een resolver die door het netwerk wordt aangeraden. Dit kan een probleem zijn wanneer er een onbetrouwbare resolver wordt aangeraden, die bijvoorbeeld allerlei informatie over gebruikers opslaat of verzoeken naar bepaalde websites kaapt.

De oplossing voor dit probleem is een Trusted Recursive Resolver (TRR). Dat kan elke partij zijn die de gebruiker vertrouwt, maar Mozilla is nu een test met Cloudflare gestart. Cloudflare zegt dat het alle persoonlijke informatie van dns-verzoeken na 24 uur verwijdert en geen data met derde partijen deelt. Volgens Mozilla zullen er ook regelmatig audits worden uitgevoerd om te controleren dat alle gegevens zoals afgesproken worden verwijderd.

Het is al mogelijk om dns over https in Firefox in te schakelen. Het werkt echter het beste in Firefox 62 en nieuwer, waarvan nu een testversie is verschenen. Daarnaast is Mozilla met gebruikers van de testversie van Firefox 62 een experiment gestart waarbij automatisch de dns over https-dienst van Cloudflare wordt gebruikt. Als eerste wordt er gekeken of DoH naar behoren presteert.

Geen totale bescherming

Mozilla merkt op dat dns over https en Trusted Recursive Resolver het aantal mensen beperkt dat kan zien welke websites iemand bezoekt, maar dat het datalekken niet helemaal voorkomt. Zodra het dns-verzoek is beantwoord zal de gebruiker nog steeds verbinding met het ip-adres van de website maken. Hiervoor wordt een verzoek verstuurd dat de servernaam bevat. Dit verzoek is onversleuteld, wat inhoudt dat de provider van de gebruiker nog steeds kan zien waar de gebruiker naar toe gaat.

Zodra de verbinding met de webserver is gemaakt is alles echter versleuteld en kan deze versleutelde verbinding voor elke website worden gebruikt die de webserver host, niet alleen voor de initieel opgevraagde website. Dit is mogelijk door HTTP/2 samengevoegde verbindingen en zorgt ervoor dat gebruikers meerdere websites op één webserver kunnen bezoeken zonder dat hun provider hier weet van heeft.

Door de toename van content delivery netwerken (cdn's) zullen steeds meer websites vanaf een enkele server worden aangeboden, en doordat het mogelijk is om meerdere samengevoegde verbindingen open te hebben, zal deze maatregel steeds effectiever als privacyschild zijn, aldus Mozilla.

Image

Reacties (9)
01-06-2018, 12:44 door Tha Cleaner
Mooie feature, maar vanuit security oogpunt ook een mega security risico.
Bij ons worden alle DNS requests gemonitoord en eventueel doorgezet naar een sinkhole.

Het is een kwestie van tijd voordat malware hier gebruik van gaat maken.

Volgende week maar even in overleg met Informatie beveiliging of we moeten gaan onderzoeken of we moeten gaan opzoeken hoe ik deze IP's kan blacklisten in de proxy servers. Iets zegt mij dat wij hier snel een positief antwoord opgaan krijgen...
01-06-2018, 13:05 door Anoniem
Cloudflare... Houd maar op.
DNSSec,DNSCrypt, maar uiteindelijk moet je een DNS Server vertrouwen.
01-06-2018, 13:22 door Anoniem
Met DNS Querry Sniffer krijg ik nogal wat name errors zoals bij 156.195.127.40.in-addr.arpa en 29.220.184.93.in-addr.arpa,
metaregistrar dot nl admin, aka: 156.148.93.188.in-addr.arpa & een name error bij 236.40.140.51.in-addr.arpa, allemaal PTR requests voorbeelden.

Hoe kan je werkelijk vaststellen of de mate van TRUST die je geeft aan de cloud terecht is of niet? Of is de connectie nog wel veilig maar weet je eigenlijk nog niets over de uiteindelijke werkelijke veiligheid op een https website in de cloud? Wat doet de cloud met jouw private metadata? Moeten we alles en iedereen maar op de blauwe ogen geloven?

Vertrouw op G*d, maar hou liever alles goed op slot. Een wijze raad, lijkt mij. TRUST comes cheap these days...

luntrus
01-06-2018, 13:42 door Briolet
Ik heb jaren geleden een tijdje dns via voort 443 gedaan (via DNS-Crypt). Mijn router raakte daardoor echter van slag en re-startte daardoor spontaan meermaals per dag. Het zal vast een bug in de firewall geweest zijn.

Het heeft mij een paar maand gekost voordat ik de link legde tussen de spontane router restarts en het gebruik van DNS-Crypt via poort 443 op mijn PC.
01-06-2018, 14:01 door Anoniem
Wat is het toch een onzin om alles maar over http(s) te willen gooien. Daarnaast, https betekent pki betekent niets geen anonimiteit voor tenminste een van de partijen--en dan maar een half-beveiligde verbinding.
01-06-2018, 14:02 door Anoniem
mmm tja. Ik denk iedereen thuis een eigen VPN met eigen DNS server. Dan gaat die DNS server shoppen bij de Root Servers met DNSSEC, enz. Eventueel het Cloudfare systeem als DNS forwarder gebruiken (doe dat zelf liever niet).

Leuke bijkomstigheid, meteen in de DNS server wat zone's voor advertentie boeren maken, scheelt verkeer en virussen.
02-06-2018, 15:51 door Anoniem
Voor sites die je regelmatig bezoekt en niet snel van IP veranderen hanteerde ik vroegâh een hosts-bestand.
Websites die in het hosts-bestand worden vermeld deden geen DNS-request.
Nadeel is dat als het IP-adres eens mocht veranderen, je bij de verkeerde server uitkomt.
In het ergste geval bij een kwaadaardige server.
Maar in de praktijk is dat toen ik het gebruikte jarenlang niet bij mij niet voorgekomen.

Tegenwoordig kan je niet altijd meer zo gemakkelijk een hosts-bestand gebruiken.
Men zag het naderhand als "threat" dat eventueel opgelopen malware kon helpen zijn slag te slaan door heimelijk het hosts-bestand te wijzigen. Maar met betrekking tot privacy was het natuurlijk wel beter.

We hebben trouwens ook nog OCSP, wat bijna net zo privacybedreigend zou kunnen zijn als DNS.
Ocsp op basis van stapling is de oplossing, maar de meeste sites doen daar nog altijd niet aan.
03-06-2018, 16:15 door Anoniem
Door Anoniem: mmm tja. Ik denk iedereen thuis een eigen VPN met eigen DNS server. Dan gaat die DNS server shoppen bij de Root Servers met DNSSEC, enz. Eventueel het Cloudfare systeem als DNS forwarder gebruiken (doe dat zelf liever niet).

Leuke bijkomstigheid, meteen in de DNS server wat zone's voor advertentie boeren maken, scheelt verkeer en virussen.
wat dacht je van pi-hole. doet dat automatisch :)
03-06-2018, 23:42 door Anoniem
Door Anoniem: mmm tja. Ik denk iedereen thuis een eigen VPN met eigen DNS server. Dan gaat die DNS server shoppen bij de Root Servers met DNSSEC, enz. Eventueel het Cloudfare systeem als DNS forwarder gebruiken (doe dat zelf liever niet).

Leuke bijkomstigheid, meteen in de DNS server wat zone's voor advertentie boeren maken, scheelt verkeer en virussen.

Ja da's leuk en dan stuurt je client alsnog de hele query naar de root servers die oja, anycasted zijn en bij de lokale provider staan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.