Door Anoniem: Door Anoniem: Je maakt gebruik van de DNS server van cloudflare. Je zet dus een versleuteld tunneltje op met deze server. Uiteraard worden je queries dan wel weer op deze server ontsleuteld dus cloudflare kan jouw queries zien. De partijen daar tussen dan weer niet. Nu mag je zelf bepalen of je cloudflare wel of niet vertrouwd.
Aanvullend hier op, ik ben niet deze anoniem, zorgt het versleutelen van de SNI er voor dat de hostname in de TLS verbinding (bijv. security.nl) niet meer zichtbaar is.
De DNS aanvraag bij Cloudflare zien zij dus wel, maar iemand op hetzelfde wifi netwerk kan geen hostname meer zien van de verbinding die je daarna opzet. Uiteraard is nog steeds het IP te zien en daarmee valt ook al veel te zeggen, maar het is iets.
Helaas heeft Firefox ervoor gekozen om eSNI te koppelen aan DoH en effectief aan Cloudflare. Ik zou je aanraden om zelf een DNS recursor te draaien (Unbound bijvoorbeeld) dan hierbij van een Amerikaans bedrijf afhankelijk te zijn. Maar dan mis je (voorlopig) wel de voordelen van eSNI
Je adviseert dat eSNI bedoeld is om te voorkomen dat iemand op het lokale Wifi netwerk de bestemmingshostname ziet.
En daarna adviseer je om zelf een DNS recursor te draaien - waarbij iemand op het lokale Wifi netwerk natuurlijk gewoon ziet welke hostnamen je resolved. (DNS Sec encrypt de queries niet !). Plus dat in de huidige implementatie van firefox eSNI dan niet werkt zonder DoH .
Wees consequent in je keuze tegen welk scenario je je wilt beveiligen :
Een meegluurder 'lokaal dichtbij - wifi, of je ISP' , of een cloudflare uit de VS die ziet wat "een IP uit NL" resolved.