| Softwaregeek

Microsoft heeft zijn gewicht achter het DNS-over-HTTPS (DoH) beveiligingsprotocol gelegd, waardoor de kans aanzienlijk groter wordt dat het een internetstandaard wordt.

In een bericht dat zondag op zijn netwerkblog werd gepubliceerd, bevestigden de technici van Microsoft plannen om DoH als standaard te gebruiken, en legden uit dat het “een van de laatst overgebleven platte tekst domeinnaamverzendingen in gemeenschappelijk web verkeer zou sluiten.”

Met de beslissing om ondersteuning voor gecodeerde DNS te bouwen, is de volgende stap om erachter te komen wat voor soort DNS-codering Windows ondersteunt en hoe deze zal worden geconfigureerd. Dit zijn de leidende principes van ons team bij het nemen van die beslissingen:

Windows DNS moet standaard zo privé en functioneel mogelijk zijn zonder dat gebruikers- of admin configuratie nodig is, omdat Windows DNS-verkeer een momentopname is van de browser geschiedenis van de gebruiker. 

Voor Windows-gebruikers betekent dit dat Windows hun ervaring zo privé mogelijk maakt. Voor Microsoft betekent dit dat we mogelijkheden zullen zoeken om Windows DNS-verkeer te coderen zonder de geconfigureerde DNS-revolvers te wijzigen die zijn ingesteld door gebruikers en systeembeheerders.

Privacybewuste Windows-gebruikers en -beheerders moeten naar DNS-instellingen worden geleid, zelfs als ze nog niet weten wat DNS is. Veel gebruikers zijn geïnteresseerd in het beheren van hun privacy en gaan op zoek naar privacygerichte instellingen zoals app-machtigingen voor de camera en locatie, maar zijn mogelijk niet op de hoogte van DNS-instellingen of weten niet waarom ze ertoe doen en zoeken deze mogelijk niet op in de apparaatinstellingen .

Windows-gebruikers en -beheerders moeten hun DNS-configuratie met zo weinig mogelijk eenvoudige acties kunnen verbeteren. 

We moeten ervoor zorgen dat we geen gespecialiseerde kennis of inspanningen van Windows-gebruikers nodig hebben om te profiteren van gecodeerde DNS. Zowel ondernemingsbeleid als UI-acties moeten iets zijn dat u maar één keer hoeft te doen in plaats van te onderhouden.

Windows-gebruikers en -beheerders moeten expliciet fallback toestaan ​​van gecodeerde DNS nadat ze zijn geconfigureerd. 

Als Windows eenmaal is geconfigureerd om gecodeerde DNS te gebruiken en er geen andere instructies van Windows-gebruikers of beheerders worden ontvangen, moet ervan worden uitgegaan dat terugvallen op niet-gecodeerde DNS verboden is.

Het DoH-protocol codeert verzoeken van de browsers van mensen en voorkomt zo – of, beter gezegd, aanzienlijk – het vermogen van kwaadwillende actoren om het browserverkeer van mensen te kapen, te lezen en om te leiden. Het is echter in de fout gevallen van andere internetbedrijven, met name internetproviders, die het verkeer van hun eigen klanten niet langer kunnen zien.

Internet Service Providers klagen dat ze de mogelijkheid gebruiken om DNS-query’s te zien om inhoud tegen te gaan en te filteren en hebben gewaarschuwd dat DoH uiteindelijk de enorme gegevensstapel zou centraliseren die wereldwijd browsen oplevert, die mogelijk enorme sommen geld waard kan zijn, vooral voor een bedrijf als Google wiens hele bedrijfsmodel werkt aan het compileren van gegevens.

In zijn post erkent Microsoft deze kritiek maar verwerpt deze. 

“Wij geloven dat Windows-acceptatie van gecodeerde DNS zal helpen het algehele internetecosysteem gezonder te maken, Er wordt door velen aangenomen dat DNS-codering DNS-centralisatie vereist. Dit is alleen waar als gecodeerde DNS-acceptatie niet universeel is. “

DNS via HTTPS

Zelfs als u een site bezoekt met HTTPS, wordt uw DNS-zoekopdracht verzonden via een niet-gecodeerde verbinding. Dat betekent dat zelfs als u https://www.softwaregeek.nl bekijkt, iedereen die naar pakketten op het netwerk luistert, weet dat u softwaregeek.nl probeert te bezoeken.

Het tweede probleem met niet-gecodeerde DNS is dat het voor een Man-In-The-Middle gemakkelijk is om DNS-antwoorden te wijzigen om nietsvermoedende bezoekers naar hun phishing-, malware- of bewakingssite te leiden. DNSSEC lost dit probleem ook op door een mechanisme te bieden om de geldigheid van een DNS-antwoord te controleren, maar slechts een enkel cijferpercentage domeinen gebruikt DNSSEC.

| Softwaregeek

Dit systeem heeft goed gewerkt sinds de jaren tachtig, maar wordt steeds beter onderzocht vanwege de mogelijkheid om privé-gebruikersinformatie vrij te geven. Stel je bijvoorbeeld voor dat je buurman je wifi-netwerk kan controleren en alle DNS-vragen van je webbrowser kan zien. Ze kunnen de websites identificeren die u hebt bezocht.

Dit is waar DNS-over-HTTPS om de hoek komt kijken. Het is een nieuwe technologie die uw DNS-query’s codeert, zodat alleen de beoogde ontvanger deze kan decoderen en lezen.

| Softwaregeek
Google Chroom ondersteunt DNS over HTTPS al ook Firefox doet dat.

Dit kan met name handig zijn wanneer u verbinding maakt met een onbekend of openbaar wifi-netwerk dat anderen mogelijk kunnen controleren. Toch hebben mensen hun bezorgdheid geuit, vooral nadat Firefox had aangekondigd het standaard in de VS in te schakelen .

Dit komt omdat webbrowsers hun gecodeerde vragen nog steeds naar iemand moeten verzenden om ze te decoderen en vervolgens te beantwoorden. Op dit moment sturen de meeste webbrowsers hun vragen naar een speciale server die wordt beheerd door de internetprovider van de gebruiker. Helaas ondersteunen de meeste van deze servers nog geen DNS-over-HTTPS.

Dit betekent dat mensen die willen profiteren van de DNS-over-HTTPS-codering, hun vragen momenteel moeten verzenden naar een andere “externe” organisatie die dit wel ondersteunt.

Wat zijn de zorgen?

Ons recente onderzoek heeft een aantal van deze “externe” DNS-over-HTTPS-providers onderzocht. Over het algemeen vonden we dat DNS-over-HTTPS een minimale impact had op de browse-ervaring. Maar we ontdekten ook dat de technologie werd gedomineerd door in de VS gevestigde bedrijven, waarover de meeste regeringen het gevoel hebben weinig controle te hebben. En dit is waar problemen beginnen te ontstaan.

Naar verluidt maakt de Britse regering zich bijvoorbeeld zorgen dat DNS-over-HTTPS haar mogelijkheden om de webactiviteiten van verdachte criminelen te controleren of illegaal materiaal te blokkeren, beperkt. En de Internet Watch Foundation , een organisatie die online kindermisbruikbeelden aan internetproviders meldt, vreest dat DNS-over-HTTPS de mogelijkheid belemmert om de toegang tot dergelijk materiaal te blokkeren, waarbij delen van DNS moeten worden geblokkeerd.

In beide gevallen bestaat de zorg dat deze “externe” DNS-over-HTTPS-providers mogelijk niet voldoende reageren op verzoeken om inhoud te blokkeren. Toch zijn deze klachtenprocedures een regelmatig gebruikt en belangrijk onderdeel van webgovernance .

Voorstanders van privacy maken zich ook zorgen over het vermogen van deze “externe” providers, zoals Google en Cloudflare, om alle DNS-over-HTTPS-vragen die ze ontvangen op te nemen, waardoor hun capaciteit om de internetactiviteiten van de wereld te volgen verder wordt uitgebreid. Deze zorgen hebben naar verluidt ertoe geleid dat het Amerikaanse Congres begon te onderzoeken of DNS-over-HTTPS kon leiden tot concurrentieverstorend wangedrag .

Bovendien vrezen experts dat misleidende dekking van DNS-over-HTTPS mensen zelfs in een vals gevoel van veiligheid kan brengen , en benadrukken dat het gebruikers nog steeds openhoudt voor vele andere privacyaanvallen .

Wat gebeurt er vanaf hier?

Deze problemen komen gedeeltelijk voort uit de huidige inzet van DNS-over-HTTPS. Zo kunnen zorgen over de dominantie van de VS verdwijnen als er meer binnenlandse providers verschijnen en kunnen wetshandhavers zich meer op hun gemak voelen als dergelijke providers dan bevestigen dat ze hun blokkeerverzoeken zullen uitvoeren. Ondertussen heeft Firefox nu besloten om DNS-over-HTTPS niet de standaardinstelling in zijn browser te maken voor Britse gebruikers .

Fundamenteel gaat dit debat echter niet over de komst van een nieuwe technologie. Zoals vaak het geval is, draait het om macht, wie het moet hebben en wie het moet hanteren. Wie moet bijvoorbeeld het internet reguleren en wie moet onze gegevens kunnen exploiteren? Zelfs als overheden en internetbedrijven overeenstemming bereiken over DNS-over-HTTPS, is het bredere debat nog lang niet voorbij.

| Softwaregeek
Delen van dit artikel zijn opnieuw gepubliceerd uit The Conversation onder een Creative Commons-licentie. Lees het originele artikel .

Pin It on Pinterest