image

Googles publieke dns ondersteunt nu DNS over HTTPS

donderdag 27 juni 2019, 12:12 door Redactie, 7 reacties

De publieke dns-dienst van Google ondersteunt nu DNS over HTTPS (DoH), zo heeft de internetgigant bekendgemaakt. Het domain name system (dns) speelt een belangrijke rol bij het opvragen van domeinnamen door internetgebruikers.

In veel gevallen maken internetgebruikers gebruik van de dns-server van hun eigen internetprovider. Het is echter ook mogelijk om een andere dns-provider te kiezen. Door het instellen van de dns-server van een andere aanbieder vragen internetgebruikers niet aan hun eigen provider waar het ip-adres van een bepaalde domeinnaam te vinden is, maar aan de ingestelde aanbieder. Google is naar eigen zeggen de grootste publieke dns-aanbieder ter wereld.

Het probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken. Google is niet de enige partij die inzet op DoH. Vorig jaar vroeg Mozilla al aan Firefoxgebruikers om DoH te testen.

Er is echter ook kritiek op de techniek. Gebruikers zouden bij gebruik van DoH juist extra kunnen worden 'gefingerprint' - vanwege de extra informatie die bij een verbinding kan worden meegegeven. Een ander probleem is dat applicaties zoals de browser zelf met externe resolver-diensten gaan communiceren in plaats van een centrale, uniforme methode te gebruiken. Iets wat geen exclusief DoH-probleem is, maar wel bij DoH gebeurt.

"Het is nog te vroeg voor definitieve conclusies, want het kan nog alle kanten op. Hoe het uitgekristalliseerde plaatje eruit zal zien is onzeker. Zeker is dat er behoorlijk ingrijpende veranderingen zullen plaatsvinden. Het is daarom van belang deze ontwikkelingen te blijven volgen en te duiden en waar mogelijk in de juiste richting bij te sturen", zo liet SIDN Labs eind vorig jaar weten.

Reacties (7)
27-06-2019, 13:50 door Anoniem
Gebruikers zouden bij gebruik van DoH juist extra kunnen worden 'gefingerprint'
Iets wat Google helemaal prima vindt, want die willen zoveel mogelijk van je privacy afsnoepen.
Kolfje naar hun hand, dus geen wonder dat ze er in de huidige vorm al instappen.
27-06-2019, 21:17 door Anoniem
Wees verstandig gebruik https://blog.uncensoreddns.org.
27-06-2019, 22:33 door Anoniem
Waarom wordt dit niet gewoon op OS niveau opgelost via een RFC? Zat reden om een encrypted DNS implementatie te bouwen vandaag de dag.
28-06-2019, 10:37 door Tha Cleaner
Door Anoniem: Waarom wordt dit niet gewoon op OS niveau opgelost via een RFC?
DNS over HTTPS is a proposed standard as RFC 8484 under the IETF
https://en.wikipedia.org/wiki/DNS_over_HTTPS

Zat reden om een encrypted DNS implementatie te bouwen vandaag de dag.
Het is nog allemaal betrekkelijk nieuwe techniek. Daarnaast werkt deze oplossing bij bedrijven slecht, want die hebben vaak een interne DNS die gebruikt moet worden.
Er wordt momenteel nog maar heel weinig gebruik van gemaakt. Kijk alleen al eens naar IPV6. Bestaat al jaren en wordt nog steeds niet echt heel veel gebruikt. Wel groeiende....
28-06-2019, 15:48 door Anoniem
Nog wel meer "best policies" te noemen, die nog maar mondjesmaat worden gehanteerd.
DNSstuff, joh, hebt van alles, goed doordacht, gebruik het dan ook.
Security headers, implementeer ze dan ook. Afvoerbare bibliotheken, voer ze dan ook af.

Natuurlijk wel dat doen wat de configuratie in jouw geval je toestaat.
Kijk maar een met SiteCheker waarom javax.net.ssl een uitzondering geeft op de handshake en een SSL error,
omdat java per default gebruik maakt van een verouderde protocol versie, verkeerd gemak,
als men dit niet codematig aanpast. Ja grote Clouddiensten falen ook in zulke opzichten.

Gokken is gissen, meten is weten. Hoe ver reikt je array? Nu eenvoudig, zo ver en breed, als die gaat.
Ik hoor het de docent in het lokaal nog uitleggen en zag zijn prangende ogen gericht op de twijfelende student developer.

Als je beta-denkt, denk je heel bewust een bepaalde richting uit. Zelfs je omgeving zegt wel eens,
daar heb je hem weer met zijn beta-visie op allerlei zaken. Goed leer discipline en handel er dan ook naar.

Systemen werken nooit zoals aangenomen wordt, je moet ook nog een keer checken of er gebeurt wat je verwacht.
Software errors happen, dat is het probleem niet. Er niet naar (willen) kijken, dat is het probleem vaak wel
Dan zit Nederland ineens zonder 112.

luntrus
30-06-2019, 09:48 door Anoniem
Door Tha Cleaner:
Het is nog allemaal betrekkelijk nieuwe techniek. Daarnaast werkt deze oplossing bij bedrijven slecht, want die hebben vaak een interne DNS die gebruikt moet worden.
Nou ja het werkt slecht als je het gaat inbouwen in applicaties, zoals een browser. Dat moet je natuurlijk niet doen.
Zo iets zou moeten worden ingebouwd in een lokale DNS resolver die via een API benaderd wordt door applicaties.
Dan kan die resolver zodanig geconfigureerd worden dat ie snapt wat ie lokaal moet afhandelen en wat er op internet
gevraagd moet worden. In een bedrijf heb je vaak ook een of meer centrale resolvers die de internet queries doen en
cachen tbv de lokale systemen. Daar kun je ook je split regelen.
01-07-2019, 09:58 door Anoniem
Of gebruik https://www.opennic.org/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.