Google zal DNS over HTTPS (DoH) niet standaard voor alle Chrome-gebruikers inschakelen

[Captain Kirk]

Google zal DNS over HTTPS (DoH) niet standaard voor alle Chrome-gebruikers inschakelen. Alleen bij gebruikers waarvan de huidige dns-provider de maatregel ondersteunt wordt het ingeschakeld, zo laat het techbedrijf weten. Volgens Google is er veel misinformatie en verwarring over Googles aanpak van DoH.

Het gaat onder andere om de claim dat Google het dns-verkeer naar Googles eigen dns of andere dns-providers zal doorsturen die DoH ondersteunen. "Dat klopt niet", zegt Chrome-productmanager Kenji Baheux. DoH zorgt ervoor dat dns-verzoeken van gebruikers, die het ip-adres, of een groot deel hiervan, van de gebruiker bevatten, alsmede de opgevraagde domeinnaam, worden versleuteld. Op dit moment zijn de verzoeken onversleuteld, zodat allerlei partijen die onderweg kunnen inzien of veranderen.

Doordat de verzoeken zijn versleuteld moet het de privacy van gebruikers verbeteren en bijvoorbeeld man-in-the-middle-aanvallen op dns-lookups voorkomen. De browser kan DoH alleen gebruiken als de dns-provider van de gebruiker dit ondersteunt. Op dit moment zijn er slechts een handvol providers waarbij dit het geval is. Mozilla wil DoH onder Firefoxgebruikers inschakelen door de huidige dns-provider te veranderen. Er zal dan gebruik worden gemaakt van de dns-servers van internetbedrijf Cloudflare, dat DoH ondersteunt.

Google hanteert voor Chrome-gebruikers een andere aanpak. De browser zal DoH alleen inschakelen als de huidige dns-provider van de gebruiker dit ondersteunt. Wanneer de dns-provider dit niet doet wordt DoH niet ingeschakeld en blijft de dns-server ongewijzigd. Google zal een experiment met DoH onder Chrome-gebruikers uitvoeren en heeft daarvoor zes dns-providers gekozen die DoH ondersteunen. Het gaat om Cleanbrowsing, Cloudflare, DNS.SB, Google, OpenDNS en Quad9.

Een andere misvatting volgens Google gaat over de gevolgen van DoH voor filtersoftware en software voor ouderlijk toezicht. Tegenstanders van DoH zijn bang dat deze software door de maatregel straks geen ongewenste domeinen meer kan filteren. "DoH beveiligt de url-data alleen als het wordt verstuurd tussen je browser en dns-provider, dus de malwarebescherming en ouderlijk toezicht van je provider blijven gewoon werken zoals ze altijd hebben gedaan", merkt Baheux op. Hij wijst daarbij naar dns-provider CleanBrowsing, dat ouderlijk toezicht voor zowel de normale dns-dienst als DoH-dienst aanbiedt.

Wanneer het DoH-experiment van Google plaatsvindt is nog onbekend, maar in eerste instantie wordt het onder 1 procent van de gebruikers ingeschakeld waarvan de dns-provider DoH ondersteunt. Het aantal gebruikers zal vervolgens geleidelijk worden uitgebreid Daarnaast kunnen gebruikers zich vanaf Chrome 79 voor het experiment afmelden door via de adresbalk de optie chrome://flags/#dns-over-https uit te schakelen, merkt Baheux op.

 

 

bron: security.nl