image

Firefox gaat DNS-over-HTTPS in Verenigde Staten inschakelen

zaterdag 7 september 2019, 09:41 door Redactie, 34 reacties

Later deze maand zal bij Amerikaanse Firefox-gebruikers DNS-over-HTTPS (DoH) worden ingeschakeld, zo heeft Mozilla bekendgemaakt. DoH zorgt voor een versleutelde verbinding voor dns-verzoeken, zodat informatie van het dns-verzoek niet kan lekken.

Op dit moment zijn dns-verzoeken onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. DoH moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken. Dit kan echter gevolgen hebben voor zakelijke dns-configuraties en de software die ouders en scholen gebruiken om ongeschikte websites voor kinderen te blokkeren. De software kijkt namelijk naar het dns-verzoek van de gebruiker om te bepalen of een website moet worden geblokkeerd.

Sinds vorig jaar juni voert Mozilla verschillende experimenten met Firefox DoH uit. Daarnaast hebben meer dan 70.000 Firefox-gebruikers DoH zelf ingeschakeld. Uit de nu verzamelde statistieken blijkt volgens Mozilla dat DoH een betrouwbare dienst is en dat de meeste gebruikers zullen profiteren van de bescherming die versleuteld dns-verkeer biedt. De browserontwikkelaar wil DoH daarom standaard gaan inschakelen.

Mozilla zal wel rekening houden met bedrijven en gebruikers die software voor ouderlijk toezicht hebben ingeschakeld. 4,3 procent van de Firefox-gebruikers die aan het laatste DoH-experiment deelnam had ouderlijk toezicht van OpenDNS of Googles safe-search feature ingeschakeld. Doordat DoH dns-verzoeken versleutelt kunnen websites niet gefilterd worden.

Een zelfde probleem kan bij bedrijven spelen die een eigen dns-server hebben opgezet. Sommige dns-servers kunnen een ander ip-adres voor een domeinnaam teruggeven, afhankelijk of de gebruiker van wie het verzoek afkomstig is zich op een publiek of bedrijfsnetwerk bevindt. Dit gedrag wordt "split-horizon" genoemd en wordt onder andere toegepast bij het hosten van productie en een nog in ontwikkeling zijnde websites. Via DoH zou er dan toegang tot websites kunnen worden verkregen die niet voor het publiek zijn bedoeld.

Zodra Firefox detecteert dat gebruikers software voor ouderlijk toezicht gebruiken of dat er een bepaalde bedrijfsconfiguratie is ingesteld, zal DoH worden uitgeschakeld. In het geval van een split-horizon-configuratie zal Firefox op de standaard dns van het besturingssysteem terugvallen. Op deze manier zouden gebruikers geen hinder van de maatregel moeten ondervinden. Mozilla gaat DoH nu eind september geleidelijk onder Amerikaanse Firefox-gebruikers inschakelen. Mozilla zal laten weten wanneer de uitrol voor andere Firefox-gebruikers plaatsvindt. Gebruikers die niet willen wachten kunnen DoH eenvoudig zelf inschakelen.

Image

Reacties (34)
07-09-2019, 10:59 door Briolet
Zodra Firefox detecteert dat gebruikers software voor ouderlijk toezicht gebruiken of dat er een bepaalde bedrijfsconfiguratie is ingesteld, zal DoH worden uitgeschakeld.

Dit lijkt niet te werken. In elk geval als je DoH in de settings aan zet.

Hier draait een eigen DNS server die ook nog gebruik maakt van een externe partij voor ouderlijk toezicht. De gehele bedrijfs dns server wordt omzeild met DoH actief en websites zijn weer vol met reclame. Ook geblokkeerde websites, kunnen nu gewoon bezocht worden.
Ik verwacht dat dit dan ook zo werkt met een Pi-Hole server of een privacy router.

Lijkt me een veiligheidsrisico voor bedrijven als gebruikers zelf de simpele optie hebben om zo de bedrijfsserver te omzeilen. Dus zonder zelf aanvullende software te hoeven installeren.
07-09-2019, 11:23 door Erik van Straten
Naast het door Briolet genoemde risico, dat gebruikers de via een lokale DNS server geblokkeerde sites kunnen bezoeken, zie ik nog meer risico's:

1) Het concentreren van alle DoH requests bij enkele externe partijen (zoals CloudFlare en Google) vormt een privacyrisico voor grote hoeveelheden internetters, want die partijen weten dan, van veel internetters, precies wie wanneer welke websites bezoekt. Ook censuur en/of benadelen van bepaalde sites is denkbaar. Vanuit privacyoogpunt zou het goed zijn als er veel meer DoH providers zouden komen, maar dat maakt blacklisten ervan (i.v.m. de volgende twee punten) weer lastig;

2) Lokale DNS-logging valt weg bij bedrijven. Natuurlijk vormt die logging een privacyrisico, maar deze kan je wel helpen om gecompromitteerde devices in je netwerk te ontdekken;

3) DoH zal de vraag naar TLS-interceptie doen stijgen, en daarvan zijn de risico's meestal groter dan de opbrengst.

Persoonlijk denk ik dat DoH, zoals nu geïmplementeerd en beschikbaar is, wel eens meer kwaad kan doen dan goed.
07-09-2019, 11:39 door Anoniem
Steeds meer een internet voor de IT Big Five en steeds minder vrijheid voor de eindgebruiker. Als toezichthoudende instanties het apert verkeerde aan crony capitalism niet onder controle kunnen of willen houden, wordt het een dystopische toestand met een voorland waar geen individu bij zijn volle verstand in wil leven, behalve die het niet wensen of kunnen onderscheiden.
#sockpuppet
07-09-2019, 11:41 door [Account Verwijderd] - Bijgewerkt: 07-09-2019, 11:41
Ik heb ook (naast een VPN) in Linux de volgende configuratie ingesteld: https://en.wikipedia.org/wiki/DNS_over_TLS en dan vervolgens in /etc/systemd/resolved.conf de parameter DNSOverTLS=opportunistic ingesteld. Dat is dus naast deze DNS in HTTPS ingesteld. Ik heb een aantal vragen hierover:

1. Is het ook mogelijk om DNS_over_TLS te gebruiken voor bittorrent?
2. Wat zijn de echte voordelen van DNS over HTTPS tov DNS over TLS, omdat de laatste mij persoonlijk een heel stuk logischer is als je het vergelijkt met DNS over HTTPS, omdat deze alleen maar HTTPS behandeld.
3. Waarom gebruiken ze bij Firefox geen DNSCurve, die geprogrammeerd is door Daniel Bernstein?
07-09-2019, 12:31 door Anoniem
Inderdaad zoals al door Briolet en Erik van Straten is aangegeven: dit soort maatregelen gaat alleen maar als een
boemerang terugkomen. Net als het dwangmatig invoeren van https geeft het problemen in talloze situaties, en
uiteindelijk zullen autoriteiten het ook niet meer pikken. En dan ben je veel meer de sigaar dan wanneer je gewoon
encryptie alleen toepast indien nodig.
07-09-2019, 12:32 door Anoniem
Door donderslag:
3. Waarom gebruiken ze bij Firefox geen DNSCurve, die geprogrammeerd is door Daniel Bernstein?
Dat is wellicht een van de redenen?
07-09-2019, 13:00 door Anoniem
De gevolgen van DoH zijn nog groter dan je denkt. Ik ben dus geen voorstander (ik wil dat liefst gewoon zien verdwijnen).
Pi-Hole blijkt wel iets te hebben dat met cloudfare werkt en DoH - maar goed, dan hang je vast aan één DoH-provider. De problemen daarvan zijn beschreven.
We hopen in elk geval dat de nameresolving info uit de https-streams van de webprovider weggegooid kan worden - dat deugt voor niks, malwareschrijvers zien dat zitten (als enigen) en de facebooks, googles en andere privacyschenders wrijven ook in de handjes...
07-09-2019, 16:28 door Briolet
Door Anoniem: …We hopen in elk geval dat de nameresolving info uit de https-streams van de webprovider weggegooid kan worden - dat deugt voor niks, ...

Ik weet even niet wat je ermee bedoelt, maar als je de domeinnaam in de http(s) headers naar de webproviders bedoelt, dan kun je die niet weglaten. De meeste webhosters werken met virtual hosts, waarbij meerdere websites op één IP adres zitten. Die domeinnaam moet dan leesbaar in de tcp headers staan om de http(s) stream bij de goede website af te kunnen leveren.
07-09-2019, 16:36 door Anoniem
Als je de modem interface van je FRITZ!Box [1] bezoekt met een toekomstige versie van Firefox. Of als je denkt dat het Malwarefilter van XS4All op je DNSSEC verkeer [2] aanstaat, dan gaat dit niet goed.

Je komt dan via Cloudflare op de TLD '.box' terecht. En het Malwarefilter van XS4All wordt door DoH omzeild waardoor je nog steeds door foute sites besmet of gephished kan worden.

Ik heb een FRITZ!Box en ben een tevreden gebruiker van het Malwarefilter van XS4All (het enige is dat afbeeldingen heel soms niet laden, en later dan weer wel). Een tevreden gebruiker van Firefox ben ik steeds minder, maar de alternatieven zijn nog slechter.

[1] fritz.box:
https://www.heise.de/newsticker/meldung/Neue-Top-Level-Domain-box-bringt-manche-Netze-durcheinander-3491185.html

[2] Malware filter xs4all:
https://blog.xs4all.nl/xs4all-introduceert-als-eerste-provider-malwarefilter-in-netwerk/
07-09-2019, 16:39 door Anoniem
Ze hebben wel een mechanisme bedacht om te voorkomen dat gebruikers automatisch DNS-over-HTTPS kiezen:
DNS queries for the A and AAAA records for the domain “use-application-dns.net” must respond with NXDOMAIN rather than the IP address retrieved from the authoritative nameserver.
maar dat mechanisme is veel te lastig in te zetten. Ze zouden ook een reply als 127.0.0.1 of ::1 moeten toelaten als resultaat, voor de situaties waarin de gebruikte software niet eventjes een NXDOMAIN kan retourneren voor een bepaalde domeinnaam.
07-09-2019, 17:29 door Anoniem
Door Erik van Straten: Naast het door Briolet genoemde risico, dat gebruikers de via een lokale DNS server geblokkeerde sites kunnen bezoeken, zie ik nog meer risico's:

1) Het concentreren van alle DoH requests bij enkele externe partijen (zoals CloudFlare en Google) vormt een privacyrisico voor grote hoeveelheden internetters, want die partijen weten dan, van veel internetters, precies wie wanneer welke websites bezoekt.
Theoretisch kan dat natuurlijk, maar het lijkt erop dat Mozilla dit afdekt in een contract.
Ik lees:
In the US, Firefox by default directs DoH queries to DNS servers that are operated by CloudFlare, meaning that CloudFlare has the ability to see users' queries. Mozilla has a strong Trusted Recursive Resolver (TRR) policy in place that forbids CloudFlare or any other DoH partner from collecting personal identifying information.
To mitigate this risk, our partners are contractually bound to adhere to this policy. (geldt dus niet alleen voor Cloudflare)
Bron: https://support.mozilla.org/en-US/kb/firefox-dns-over-https
07-09-2019, 20:57 door Anoniem
TRR policy is weliswaar hard in de leer, maar hoe zacht gaat dat over in de praktijk van iedere IT-dag
en de steeds vaker daarbij optredende gigantische data-breaches? Blijf je overeind in een cyber-steegje?

En wat nu als de "diensten" eens CloudFlare vragen om persoonlijk identificeerbare data via een zogenaamde gag order?
Ze mogen er bij CloudFlare dan niet over praten (want "gag"=knevel), maar moeten er wel gehoor aan geven.

"TRUST (in privacy regulations) is an ever eroding issue these days", beste forum-vrinden
Er zijn zelfs momenten op te noemen waar je de eigen inzichten nauwelijks vertrouwen kan.
Geef het maar eens toe en "wake up to digital reality".

Gelukkig wordt je hier dan weer gelijk op het goede spoor gezet via de gebundelde inzichten van diverse posters,
Waar haal je dan ook anders je privacy garanties vandaan?

Je mag geen inzage hebben in de gebruikte algoritmen, want bedrijfsgeheim zegt de rechter desgevraagd.
Moet je ze allemaal dan maar gaan geloven op hun mooie blauwe datagraai-oogjes?

#sockpuppet

P.S. Wanneer komt dit naar EU en dus naar onze kikkerland-EU-provincie? Of kan dit wettelijk nog niet voor de grote spelers in verband met de EU wet- en regelgeving op dit vlak?

Ik ga er dus liever zelf over op lokaal level en via test server 203.0.113.1 met blokada met mijn eigen gekozen blokkeringen. Lekker app-breed vrij van Google en andere ad-tracking, zo een rustige omgeving zonder wegklikkerij bij niet, toestaan van "wij willen u meldingen sturen" en andere "commercieel gemiep".Je wordt er onderhand ongeveer simpel van of niet?
08-09-2019, 11:04 door Erik van Straten
@Anoniem gisteren 17:29: goed dat Mozilla dergelijke contracten afsluit, maar Cloudflare is een commercieel bedrijf: als zij niet op z'n minst alle kosten voor de benodigde infrastructuur er uit halen, doen ze dit heus niet. Hoewel tot een individu herleidbare gegevens volgens dat contract niet langer dan 24 uur bewaard mogen worden, volstaat het wellich om de laatste byte van het IP-adres van een Firefox gebruiker te schrappen en/of niet al te gedetailleerde geografische gegevens te bewaren.

M.a.w. tot groepen herleidbare gegevens zijn nog steeds mogelijk, en als die informatie bij derden terecht komt is het de praktijk dat deanonymisering mogelijk blijkt. Los van tot individuen herleidbare informatie, is kennis over groepen ook macht. Het geven van macht aan enkele grote partijen betekent een risico. Niet zelden wisselen partijen van eigenaar en/of veranderen ze van mening (denk aan bedrijven als Oracle die Java en MySQL vercommercialiseren), of blijken ze lak te hebben aan afspraken en regels (bijv. diesel sjoemelsoftware en Google streetmaps auto's die "per ongeluk" WiFi router MAC-adressen verzamelden), of hebben ze een of meer werknemers die "bijverdienen".

Stel dat DoH een groot succes wordt met een paar grote leveranciers, waarom zouden ISP's dan nog hun eigen DNS servers in de lucht houden? Zodra vendor lock-in een feit is, kunnen machthebbers dit soort contracten straffeloos opzeggen.

Ook sockpuppet heeft een punt: Cloudflare en Google zijn Amerikaanse bedrijven. Je kunt je afvragen of het een goed idee is om nog meer macht naar dat land te verplaatsen en je er nog afhankelijker van te maken.
08-09-2019, 15:15 door Anoniem
Beste Sockpuppet en Erik van Straten:

Ben het er helemaal mee eens dat een papieren contract niet alles kan garanderen.
Als men iets onmogelijk wil maken moet men het zo ontwerpen dat het eenvoudigweg niet kan.
Maar in de praktijk is dit in veel gevallen niet mogelijk of zeer moeilijk en kostbaar.
En met een papieren contract kun je dan tenminste nog enige zekerheid bieden.
Om eens een variatie te maken op het droog-komische spreekwoord van de bonte koe en zijn vlekje:
"Er is geen ICT-omgeving zo afgesloten of er zit wel ergens een lekje aan" .
Vooral als er meerdere partijen bij zijn betrokken.

Verder wordt Cloudflare nu dus ingezet voor DoH in de VS.
Een amerikaanse DoH -provider in amerikaans gebied lijkt me niets mis mee.
Ik moet nog zien of Cloudflare straks ook de enige mogelijkheid zal zijn voor Europa met zijn GDPR,
en verwacht eerlijk gezegd één of meerdere Europese "DoH-providers" op den duur
waaruit gebruikers zelf zullen kunnen kiezen als het eenmaal zover is,
en die enerzijds aan de afspraken met Mozilla zullen zijn gebonden, en anderzijds aan de Europese regels.
(Mozilla spreekt immers in https://support.mozilla.org/en-US/kb/firefox-dns-over-https over "partners" (meervoud), niet "partner")

Dat inzage (opvragen van gegevens) mogelijk blijft voor bepaalde inlichtingendiensten zou niet zo vreemd zijn.
Dat hoort er nu eenmaal bij. (niet dat ze continu bij je zouden mogen meekijken, maar wel als daar aanleiding toe is)
Wat dat betreft ben ik het eens met Karma4:
privacyregels moeten geen dekmantel worden om ongeremd criminaliteit te kunnen plegen.
08-09-2019, 21:41 door Anoniem
In principe is DoH een goed systeem (beter als totaal geen beveiligd verkeer).
Er zou echter ook een Europse partner moeten gezocht worden, zodat ook de AVG van toepassing is.
Nu er slechts 1 amerikaanse partij is, valt dit ook onder de Patriot-act.
Dus ook al sluit Mozilla een contract met Cloudflare: indien je verwacht wordt van terrorisme heeft heb Amerikaanse diensten een volmacht jouw data af te tappen.
08-09-2019, 23:10 door Anoniem
Beste anoniem van 15:15 u,

Kan me je reactie wel indenken. Tevens geldt dat ook Karma4's insteek, dat privacybescherming geen obstakel zou moeten zijn voor handhaving. Het tegendeel beweren is natuurlijk nonsens en doorgeschoten "gedram". Er is tenminste ook nog steeds de eigen verantwoordelijk om jezelf veilig te houden, al kan een ieder dat niet in gelijke mate.

Ben het wel eens met Erik van Straten, waar hij het protocol DoH, en in essentie zoals hier voorgesteld, teveel een middel tot een doel vindt. Ik zie het weer meer als een nieuwe knieval naar de stille sturing door Google en CloudFlare op de achtergrond voor het verder vestigen van hun monopolie en inkomsten-optimalisatie (want daar draait toch alles bij hen en andere Big IT bedrijven om).

De rol van de officiële instanties, die hier vroeger over gingen, wordt steeds meer overgenomen door deze monopoliserende globale commerciële spelers als een Google, CloudFlare e.a. Ik zie nog geen regulatie als destijds met de olie-industrie in USA plaats gaan vinden. Er zijn ook globale surveillance en cyber-belangen, die men liever niet in gevaar brengt.

Maar een aanpassing in die zin met een veel grotere keuze aan DoH servers buiten de geijkte monopolistische voorzieningen lijkt me zinvol. Maar het zou me verbazen, als dat er van kwam, dan zouden tandeloze waakhonden ineens bijtertjes worden.

Over inlichtingendiensten kunnen we kort zijn. We zullen er maar niet over in de war zitten. Zij worden vaak wel op hun wenken bediend. Werkt het best in een natie waar de neuzen allemaal al zeventig jaar dezelfde kant opstaan. Maar je zult toch wel een veiliger infrastructuur in het algemeen willen voor de eindgebruiker, zonder al je data meteen in de uitverkoop te doen. Educatie en zelf-educatie, hoe was het ook weer "back to the basics, also in IT".

#sockpuppet
09-09-2019, 08:42 door Erik van Straten
Door Anoniem: privacyregels moeten geen dekmantel worden om ongeremd criminaliteit te kunnen plegen.
Democratieën horen, rekening houdend met minderheden, een zo breed mogelijk gedragen balans te vinden tussen privacy en opsporingsbevoegdheden. Er zullen altijd mensen zijn die het niet eens zijn met het gekozen beleid.

Een probleem bij DoH naar Cloudflare of Google is dat het bedrijven zijn in een land dat andere keuzes maakt (waarbij niet-Amerikanen minder rechten hebben dan staatsburgers van de VS). Een wellicht vergezocht voorbeeld: stel dat de VS laat monitoren wie websites van abortusklinieken bezoeken, en, bij aankomst in de VS, hen aanhoudt en onderzoekt of daadwerkelijk abortus is gepleegd en zo ja, vervolgt voor dit -in hun jurisdictie- mogelijk strafbare feit? Dat de USA "meekijkt", for whatever reasons, lijkt me sinds Snowden en bijv. https://www.security.nl/posting/487879/Yahoo+scande+inkomende+e-mails+van+gebruikers+voor+Amerikaanse+inlichtingendienst geen geheim meer.

Ook vanuit commercieel protectionistisch oogpunt is het interessant om te weten welke buitenlandse zakelijke partijen, wanneer en hoe vaak, met elkaar communiceren. Spionage is van alle tijden, maak het ze niet te makkelijk.
09-09-2019, 08:55 door PietdeVries
Nou, goed nieuws... er zijn behalve Google en Cloudflare meer aanbieders van DNS over HTTPS - ruim 40:

https://github.com/curl/curl/wiki/DNS-over-HTTPS
09-09-2019, 10:48 door Anoniem
Blah DNS bijvoorbeeld. Let wel op, developers, crashlytics bijvoorbeeld wordt per default geblokkeerd. Ik werk liever via een testserver en blokada, daar regel je het zelf af, dat wat je wel en niet wenst te blokkeren en via welk abonnement. Gebruik je een publieke server, wat logt ie en wat deelt ie en met wie?
luntrus
09-09-2019, 12:34 door Anoniem
Even een vergelijkend onderzoekje:
1. https://observatory.mozilla.org/analyze/dns.adguard.com F-grade status
2. https://observatory.mozilla.org/analyze/dns.google B- grade status
3. https://observatory.mozilla.org/analyze/cloudflare-dns.com C- grade status
4. https://observatory.mozilla.org/analyze/dns9.quad9.net geen 200 OK returned, F-grade status
5. https://observatory.mozilla.org/analyze/doh.cleanbrowsing.org B-grade status
6. https://observatory.mozilla.org/analyze/doh.crypto.sx D- grade status
7. https://doh-ch.blahdns.com/dns-query geen 200 OK terug, F-grade status
8. https://observatory.mozilla.org/analyze/dns.rubyfish.cn D+ grade status
9. https://observatory.mozilla.org/analyze/doh.dnswarden.com geen 200 OK returned D+ grade status
10.. EU server: https://observatory.mozilla.org/analyze/dns.aaflalo.me D+ grade status
11. https://observatory.mozilla.org/analyze/doh.captnemo.in D- grade status
12. https://observatory.mozilla.org/analyze/rdns.faelix.net geen 200 OK returned, D- status
13. https://observatory.mozilla.org/analyze/doh.armadillodns.net F-grade status
14. https://observatory.mozilla.org/analyze/doh.netweaver.uk geen 200 OK returned C- grade status
15: https://observatory.mozilla.org/analyze/jp.tiar.app A+ status

DNSSec Japan, is de beste in dit rijtje, Nihon iti!

luntrus
09-09-2019, 16:12 door hanspaint
Tjonge Tjonge wat een kakefonie van zin en onzin. Ik gebruik al een tijdje DoH niet met firefox maar geinstalleerd op de router tot nu toe geen problemen. Als provider gebruik ik cloudflare en ja als ze willen kunnen ze mijn DNS requests zien so what.
09-09-2019, 18:58 door Anoniem
@hanspaint,

Dus we mogen ons er niet over uitlaten en zelf tot conclusies komen. Wat zijn er tegenwoordig toch ontzettend veel conformisten en gemaksmensen.
Het kritisch onderscheid tussen zin en onzin hoeft dus ook niet meer volgens jou. Ja, zo'n insteek juicht CloudFlare natuurlijk toe. Hoeven ze alleen nog de blitz te maken met het snelheidsvoordeel en hopen, dat de nadelige aspecten erbij verbleken.
#sockpuppet
10-09-2019, 09:03 door Anoniem
Orange mobile hub hier in Gda?sk, draait alle DNS over CloudFlare.
Ook via 1.1.1.1. Ik verwacht nog dat Alphabet op enige moment CloudFlare opkoopt. Zou een goede deal zijn voor hun globale monopolie-positie in de cloud.
#sockpuppet
11-09-2019, 16:46 door Anoniem
Als Google alle DNS DOH verkeer via CloudFlare laat lopen,
wordt het voor de USA wel heel makkelijk alle niet-Amerikan in de smiezen te houden, digitaal gezien dan.

Geen goede ontwikkeling, maar vindt de Europese waakhond dat ook of laten ?e zich weer inpakken door Mega big IT?
Jodocus Oyevaer
12-09-2019, 04:31 door jwijnings
"ja als ze willen kunnen ze mijn DNS requests zien so what."
Waarom wil je het dan überhaupt versleutelen?
En waarom wil je een extra partij introduceren, die je niet zelf kunt kiezen, die alle requests kan zien naast je (internet of vpn) provider? Als je de provider DNS gebruikt, blijft het integrale inzicht bij de partij die vanuit het transport op de lagere lagen toch al weet met welke servers je communiceert.

Malwarebouwers zullen ook graag systemen besmetten die DoH gebruiken, is wat moeilijker detecteerbaar resolven van de C2 servers.
12-09-2019, 21:07 door Anoniem
Door Erik van Straten: Het concentreren van alle DoH requests bij enkele externe partijen (zoals CloudFlare en Google) vormt een privacyrisico voor grote hoeveelheden internetters, want die partijen weten dan, van veel internetters, precies wie wanneer welke websites bezoekt.
Je kan ook een alternatieve DOH instellen. Je kan dan zonder gedoe met je eigen DOH server (b.v een PiHole next gen) gaan werken, zelfs als je de DNS die je ISP modem geeft, niet kan wijzigen, gewoon via een browserinstelling.
13-09-2019, 15:08 door Erik van Straten
Door Anoniem: Je kan ook een alternatieve DOH instellen.
Jij, andere lezers van security.nl en ik weten dat, maar de bulk van de internetters niet. Je kunt trouwens al heel lang voor alternatieve DNS providers kiezen, sinds een tijdje een aantal met DoH: opt-in dus.

Het bezwaar van velen (waaronder van mij) is dat Mozilla de keuze voor Cloudflare DNS, nu eerst in de USA, opt-out maakt. Mijn zorgen betreffen niet mij persoonlijk, maar -zoals ik probeerde aan te geven- dat de meeste Firefox-gebruikers er geen idee van hebben (en/of door onwetendheid/ongeïnteresseerdheid het zich niet realiseren) dat hiermee veel macht bij één centrale partij wordt neergelegd.
13-09-2019, 15:10 door Erik van Straten - Bijgewerkt: 13-09-2019, 15:12
Een bezwaar van Mozilla's DoH aanpak dat ik nog niet genoemd heb: Firefox met een geconfigureerde externe DoH-server, in een (bedrijfs-) netwerk met eigen DNS-server(s) voor intranetsites, levert twee aanvullende problemen op:
1) Firefox kan dan intranet-domeinnamen naar de DoH server lekken;
2) De Firefox-gebruiker kan er geen intranetsites mee bezoeken, of komt mogelijkerwijs op onbedoelde sites uit (afhankelijk van de op intranet gekozen naamgeving en de betrouwbaarheid van de DoH-provider - waarbij kan worden opgemerkt dat Cloudflare -naar verluidt- "NXDOMAIN" (non-existent domain) zal teruggeven in plaats van de een of andere "landing-page").

Gelukkig blijkt Mozilla rekening te hebben gehouden met huidige (geconfigureerde) DNS-providers die jou "niet kwijt willen als klant". Naar verluidt doet Firefox, voordat deze DoH inschakelt, eerst (gebruikmakend van de in het OS ingestelde DNS-server), een IPv4 en een IPv6 DNS-request voor use-application-dns.net; als het antwoord daarop "NXDOMAIN" luidt, schakelt Firefox niet over op DoH.

Met andere woorden, als je https://use-application-dns.net/ opent in Firefox en een "global-canary" pagina van Mozilla (gehost bij github) te zien krijgt, zal Firefox DoH inschakelen zodra dat in de door jou gebruikte Firefox versie standaard aan staat. Als jouw huidige DNS-provider "NXDOMAIN" teruggeeft, meldt Firefox dat de site niet gevonden kon worden, en zou dan niet overschakelen op DoH.

Intranetbeheerders zullen dus een "NXDOMAIN" entry in hun DNS moeten toevoegen om het (toekomstige) gebruik van DoH door Firefox gebruikers te voorkomen. Xavier Mertens geeft hierover meer details in https://isc.sans.edu/forums/diary/Blocking+Firefox+DoH+with+Bind/25316/.

Je kunt er natuurlijk op wachten dat ISP-DNS-providers, die -om welke reden dan ook- hun klanten niet kwijt willen, ook NXDOMAIN gaan teruggeven. In https://www.reddit.com/r/sysadmin/comments/d1h8bb/firefox_and_dnsoverhttps/ lees ik:
Note that Mozilla has stated if "use-application-dns.net” is abused by (say) ISPs, then they will start ignoring it.
Het is dan ook de vraag of deze "escape" een lang leven beschoren zal zijn.
13-09-2019, 15:49 door Anoniem
Ja dat hebben ze weer fijn geregeld, even een domeintje toevoegen waarop NXDOMAIN geretourneerd wordt dat is in allerlei omgevingen helemaal niet zo gemakkelijk. Het was beter geweest als bijv A 127.0.0.2 ook geaccepteerd werd.
13-09-2019, 22:12 door Briolet - Bijgewerkt: 13-09-2019, 22:14
Door Erik van Straten: Intranetbeheerders zullen dus een "NXDOMAIN" entry in hun DNS moeten toevoegen om het (toekomstige) gebruik van DoH door Firefox gebruikers te voorkomen. Xavier Mertens geeft hierover meer details in https://isc.sans.edu/forums/diary/Blocking+Firefox+DoH+with+Bind/25316/..

Interessant. Ik heb helemaal niets geconfigureerd en krijg al een NXDOMAIN terug. Blijkbaar is dat al een standaardinstelling in sommige bind servers. (Ik gebruik de DNS server van een synology nas)

$ host use-application-dns.net
Host use-application-dns.net not found: 3(NXDOMAIN)

Gebruik is de google dns server, dan krijg ik wel een IP terug:

$ host use-application-dns.net 8.8.8.8
Using domain server:
Name: 8.8.8.8
Address: 8.8.8.8#53
Aliases:

use-application-dns.net has address 185.199.108.153
use-application-dns.net has address 185.199.109.153
use-application-dns.net has address 185.199.110.153
use-application-dns.net has address 185.199.111.153

DoH zou hier dus automatisch uit moeten blijven als Firefox deze feature activeert. Als ik DoH nu expliciet aan zet wordt hier blijkbaar niet naar geken. (Zie mijn eerdere test in dit topic)
13-09-2019, 22:22 door Briolet - Bijgewerkt: 13-09-2019, 22:24
Correctie. Het is niet mijn DNS server die NXDOMAIN terug geeft, maar het zijn de OpenDNS servers die dat doen. (waar ik naar toe link)

host use-application-dns.net 208.67.222.222
Using domain server:
Name: 208.67.222.222
Address: 208.67.222.222#53
Aliases:

Host use-application-dns.net not found: 3(NXDOMAIN)

Je kunt er natuurlijk op wachten dat ISP-DNS-providers, die -om welke reden dan ook- hun klanten niet kwijt willen, ook NXDOMAIN gaan teruggeven.

Erik je wordt op je wenken bediend (:-
14-09-2019, 10:01 door Erik van Straten
@Briolet: ik had zelf al even 8.8.8.8 en 1.1.1.1 getest, beide gaven de github IP-adressen terug. Dank voor de terugkoppeling!
26-09-2019, 16:24 door Briolet
Ik heb nu de instructie op de Mozilla site gelezen:
https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet

Dat domein hoeft helemaal geen NXDOMAIN terug te geven. Het is voldoende dat het domein geen A en geen AAA record heeft. Dan wordt het veel simpeler om dit op je egen dns server in te stellen. Gewoon dat domein toevoegen aan je dns server, zonder A of AAA record.

Je hoeft dus geen diepgravende dingen aan de dns server te veranderen als hij niet standaard een nxdomain genereert bij een niet gedefinieerd domein.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.