Mozilla vraagt Firefox-gebruikers om dns over https te testen

[Captain Kirk]

Mozilla vraagt Firefox-gebruikers om dns over https te testen, aangezien dit protocol de privacy van internetgebruikers vergroot. Het domain name system (dns) is vergelijkbaar met het telefoonboek en vertaalt onder andere domeinnamen naar ip-adressen.

Het probleem met dns-verzoeken is dat ze het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam. De verzoeken zijn daarnaast onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen. Dns over https (DoH) moet dit probleem verhelpen door een versleutelde verbinding voor de dns-verzoeken te gebruiken.

Dns-verzoeken worden door een resolver verstuurd. Het is mogelijk om die zelf in te stellen, maar de meeste internetgebruikers maken gebruik van een resolver die door het netwerk wordt aangeraden. Dit kan een probleem zijn wanneer er een onbetrouwbare resolver wordt aangeraden, die bijvoorbeeld allerlei informatie over gebruikers opslaat of verzoeken naar bepaalde websites kaapt.

De oplossing voor dit probleem is een Trusted Recursive Resolver (TRR). Dat kan elke partij zijn die de gebruiker vertrouwt, maar Mozilla is nu een test met Cloudflare gestart. Cloudflare zegt dat het alle persoonlijke informatie van dns-verzoeken na 24 uur verwijdert en geen data met derde partijen deelt. Volgens Mozilla zullen er ook regelmatig audits worden uitgevoerd om te controleren dat alle gegevens zoals afgesproken worden verwijderd.

Het is al mogelijk om dns over https in Firefox in te schakelen. Het werkt echter het beste in Firefox 62 en nieuwer, waarvan nu een testversie is verschenen. Daarnaast is Mozilla met gebruikers van de testversie van Firefox 62 een experiment gestart waarbij automatisch de dns over https-dienst van Cloudflare wordt gebruikt. Als eerste wordt er gekeken of DoH naar behoren presteert.

Geen totale bescherming

Mozilla merkt op dat dns over https en Trusted Recursive Resolver het aantal mensen beperkt dat kan zien welke websites iemand bezoekt, maar dat het datalekken niet helemaal voorkomt. Zodra het dns-verzoek is beantwoord zal de gebruiker nog steeds verbinding met het ip-adres van de website maken. Hiervoor wordt een verzoek verstuurd dat de servernaam bevat. Dit verzoek is onversleuteld, wat inhoudt dat de provider van de gebruiker nog steeds kan zien waar de gebruiker naar toe gaat.

Zodra de verbinding met de webserver is gemaakt is alles echter versleuteld en kan deze versleutelde verbinding voor elke website worden gebruikt die de webserver host, niet alleen voor de initieel opgevraagde website. Dit is mogelijk door HTTP/2 samengevoegde verbindingen en zorgt ervoor dat gebruikers meerdere websites op één webserver kunnen bezoeken zonder dat hun provider hier weet van heeft.

Door de toename van content delivery netwerken (cdn's) zullen steeds meer websites vanaf een enkele server worden aangeboden, en doordat het mogelijk is om meerdere samengevoegde verbindingen open te hebben, zal deze maatregel steeds effectiever als privacyschild zijn, aldus Mozilla.

 

 

bron: security.nl