Waarom Mozilla’s ‘DNS over HTTPS’ geen slechte zaak is

Mozilla haalde zich de woede van de internetproviders van het Verenigd Koninkrijk op de hals door uit te pakken met de uitrol van DNS over HTTPS. Onterecht, reageert het bedrijf nu, aangezien de functie eindgebruikers beschermt zonder het blokkeren van bijvoorbeeld extremistische sites onmogelijk te maken.

Mozilla kreeg vorige week een Internet Villain-award van de Internet Services Provider Association van het Verenigd Koninkrijk (ISPAUK). Die was er niet mee opgezet dat het bedrijf DNS over HTTPS (DoH) wilde activeren in zijn Firefox-browser. Dat zou de weg naar extremistische websites en kinderporno opnieuw wagenwijd openzetten, klonk het.

Geen standaard DoH voor het VK

Mozilla laat nu weten dat het DoH niet standaard zal activeren in Firefox in het VK, al kunnen gebruikers de functie wel manueel inschakelen. In de rest van de EU wil het bedrijf DoH op termijn wel als standaard invoeren. Verder laat Mozilla weten dat het protocol het helemaal niet onmogelijk maakt om bepaalde webdomeinen te blokkeren, maar dat het wel extra veiligheid en privacy voor gebruikers met zich meebrengt.

DoH is een update van het bestaande DNS-protocol. Typ je de naam van een website in, dan gaat je browser bij een DNS-server ten rade om het IP-adres van de server waar de site staat te ontdekken. Een DNS-server is zo een soort telefoonboek voor het internet. DNS-requests worden vandaag als tekst naar poort 53 van zo’n server gestuurd en zijn als dusdanig te lezen en te onderscheppen door internetproviders. Die maken daar gretig gebruik van om DNS-blocks in te voeren, niet alleen in het VK maar ook bij ons. Een DNS-block is een heel eenvoudige manier om delen van het internet te blokkeren. Wil jij bijvoorbeeld naar een gekende torrentsite surfen, dan ziet je provider de DNS-request en word je stante pede omgeleid naar een pagina van de overheid.

Veiliger alternatief

De zichtbaarheid van het protocol maakt dat het eenvoudig is om mee te kijken naar je surfgedrag. Bovendien is het vatbaar voor misbruik door hackers. Waar de rest van je internetverkeer vandaag (als het goed is) versleuteld wordt door HTTPS, blijft DNS-trafiek achter. Mozilla werkt al jaren samen met andere browsermakers zoals Google aan een oplossing: DNS-over-HTTPS. Via de nieuwe versie van het protocol worden je DNS-requests net als al je andere surfverkeer via HTTPS versleuteld, waardoor je provider ze niet kan onderscheiden van standaard-trafiek.

 

Via de nieuwe versie van het protocol worden je DNS-requests net als al je andere surfverkeer via HTTPS versleuteld.

 

Mozilla trekt de privacykaart: met DoH is surveillance van je surfgedrag niet meer mogelijk. Illegale websites blokkeren kan nog steeds, maar om dat te bewerkstelligen moeten ISP’s meer moeite doen en slimmere systemen dan een eenvoudig DNS-block implementeren. Dergelijke blocks zijn trouwens ook vandaag notoir eenvoudig om te omzeilen door manueel in de instellingen van je besturingssysteem te duiken en een DNS-server zoals die van Google of Cloudflare in te stellen in plaats van die van je ISP.

Evolutie

In dat opzicht is DoH een logische evolutie die past in de strijd om privacy die momenteel woedt. Officiële instanties zijn uiteraard niet blij omdat ze minder goed kunnen meekijken met burgers, maar diezelfde instanties zijn evenmin te spreken over bijvoorbeeld de end-to-end-versleuteling van WhatsApp-berichtjes. Mozilla en consorten proberen met DoH je internetverkeer in essentie op hetzelfde veiligheidsniveau te krijgen als dergelijke chatapplicaties.

In dat opzicht is de Villain-award die Mozilla van het VK kreeg een weinig verhulde en vooral onterechte steek naar een technologie die privacy en veiligheid van gebruikers ten goede komt. In het VK ligt DoH extra gevoelig aangezien de overheid het internet daar veel strakker wil controleren dan in de EU doorgaans de norm is. Het beste voorbeeld is de restrictie op pornowebsites. Wie in de VK is en die binnenkort wil bezoeken, moet daarvoor bewijzen dat hij of zij ouder is dan 18 via een creditkaart of een in de winkel te kopen ‘pornopas’. Ook zoiets wordt bemoeilijkt door DoH.

Gerelateerd: Homomorphic encryption: de toekomst van geheime data