Internet veiliger door DNS over HTTPS

15 juli 2019

Voordat een beveiligde verbinding kan worden opgezet (https) moet eerst in het hierarchische 'telefoonboek' van internet - het Domain Name System (DNS) - het IP-adres worden opgezocht van de server waarop de website wordt gehost. Die opvragingen verlopen nu nog bijna allemaal oversleuteld en bieden dus mogelijkheden voor onderschepping en omleiding door kwaadwillenden.

Om dit probleem aan te pakken bestaat er een protocol 'DNS over HTTPS' (DoH) dat in oktober vorig jaar is aangemeld bij de IETF om het tot officiële standaard te verheffen (RFC 8484). Hoewel Google en Mozilla al sinds maart vorig jaar aan het testen zijn, is de Firefox-browser van Mozilla de enige die het protocol nu ondersteunt.

Veilig verzoek versturen
 
Om het systeem te laten werken moeten echter ook de servers met DNS-informatie (DNS-resolver) compatibel zijn met het DoH-protocol. Op dat moment dan de browser een beveiligde verbinding opzetten via poort 443 met de dichtsbijzijnde DoH-ondersteunende DNS-resolver en daarover het verzoek versturen.

Als extra beveiliging kunnen apps een hardgecodeerde lijst met betrouwbare DoH-resolvers krijgen. Dit protocol overruled de standaard DNS-instellingen die in het besturingssysteem vastliggen. Op die manier kunnen app-ontwikkelaars garanderen dat de gebruiker naar de juiste server worden geleid.

Weerstand tegen default instelling
 
Een bijkomend effect is dat gebruikers zo filters, ingesteld door internetaanbieders of overheden, kunnen omzeilen. Mozilla wil eigenlijk de DoH-ondersteuning in Firefox default aanzetten. Dat stuit echter op weerstand, zoals bij de Britse overheid. Die heeft van bijvoorbeeld een filter geïnstalleerd dat moet voorkomen dat Britse internetters toegang krijgen tot materiaal sprake is van de schending van auteursrecht. Ook hebben de Britse internetaanbieders samen besloten de toegang tot websites met kinderporno te blokkeren.

Meer informatie