‘DoH-protocol garandeert geen privacy tegen internetproviders’

Het DNS-over-HTTPS (DoH)-protocol veroorzaakt meer problemen dan het oplost en is alles behalve een levensvatbare methode om de privacy te beschermen.” 

Dat stellen verschillende experts op het gebied van netwerken en cybersecurity, bedrijven en nationale entiteiten. Volgens hen zouden mensen hun inspanningen juist meer moeten richten op het implementeren van betere manieren om DNS-verkeer te coderen, aldus ZDnet. Denk dan bijvoorbeeld aan DNS-over-TLS in plaats van DNS-over-HTTPS.

Kritiek

Het tamelijk nieuwe DNS-over-HTTPS-protocol werd een paar jaar geleden gecreëerd en oktober vorig jaar voorgesteld als een internetstandaard (IETF RFC8484). Het nieuwe protocol wordt al ondersteund door Android en later dit jaar rollen ook Mozilla Firefox als Google Chrome het DoH-protocol uit. Nu wordt er al maanden beweerd dat het DoH-protocol voorkomt dat internetproviders het webverkeer van gebruikers volgen. Bovendien zou het ook een manier zijn om censuur in onderdrukkende landen te omzeilen. 

Het tamelijk nieuwe DNS-over-HTTPS-protocol werd een paar jaar geleden gecreëerd en oktober vorig jaar voorgesteld als een internetstandaard.

Dit alles wordt nu tegengesproken door experts, bedrijven en nationale entiteiten, die zeer kritisch zijn over het nieuwe protocol. Volgens hen is DoH allesbehalve een ‘magische remedie voor de bescherming van gebruikersprivacy’, die sommige bedrijven hebben gestimuleerd in hun marketinginspanningen om hun imago als privacy-first-organisaties te versterken. Ook zouden bedrijven onverantwoordelijk zijn in het pushen van een naar eigen zeggen halfbakken protocol dat gebruikers niet echt beschermt, maar juist meer problemen veroorzaakt dan het oplost. Met name in de zakelijke sector. De critici stellen dat:

  • DoH verhindert niet dat providers gebruikers volgen
  • DoH veroorzaakt chaos in de zakelijke sector
  • DoH verzwakt cyberbeveiliging
  • DoH helpt criminelen
  • DoH moet niet worden aanbevolen voor dissidenten
  • DoH centraliseert DNS-verkeer bij enkele DoH-resolvers

DoH-resolvers

DoH verandert de manier van werken, zoals we tot nu gewend waren met het DNS-protocol. Zo worden DNS-zoekopdrachten in platte tekst uitgevoerd met behulp van de DNS-instellingen van het lokale besturingssysteem, dat wordt ontvangen van de internetprovider.

Dat geldt voor een app tot aan een DNS-server. DoH verandert dit nu, door DNS-query’s, die vermomd zijn als regulier HTTPS-verkeer, te coderen. Deze queries worden verzonden naar speciale DoH-compatibele DNS-servers, ook wel bekend als DoH-resolvers, die de DNS-query in een DoH-aanvraag oplossen. De gebruiker wordt vervolgens op een gecodeerde manier beantwoordt.

DoH hindert internetprovider niet

Het klopt dat DoH voorkomt dat een internetprovider DNS-aanvragen van een gebruiker kan bekijken, maar er zijn nog tal van andere datapunten die ze kunnen volgen om te weten waar een gebruiker naartoe gaat. Het DoH-protocol hindert de providers alleen maar door ze voor één vector te verblinden, maar ze hebben nog steeds genoeg andere. Als een gebruiker toegang heeft tot een website die geladen is via HTTP, heeft het gebruik van DoH totaal geen zin. De internetprovider weet namelijk nog steeds tot welke URL de gebruiker toegang heeft, door naar de HTTP-aanvragen met platte tekst te kijken.

Als een gebruiker toegang heeft tot een website die geladen is via HTTP, heeft het gebruik van DoH totaal geen zin.

Ook in het geval als gebruikers toegang hebben tot HTTPS-websites, weet een internetprovider nog steeds met welke site de gebruiker verbinding maakt. Het HTTPS-protocol is nu eenmaal niet perfect, waardoor sommige delen van de HTTPS-verbinding niet gecodeerd zijn. Daarbij weten internetproviders door het ontwerp ook met welk IP-adres de gebruiker verbinding maakt,  wanneer hij een website bezoekt. Eerder onderzoek in augustus toonde aan dat een derde partij voor 95 procent nauwkeurigheid kan identificeren met welke websites gebruikers verbinding maakten. Dat kunnen ze doen door alleen naar IP-adressen te kijken.

DoH maakt cyberbeveiliging nutteloos

Bovendien beweren experts dat DoH cyberbeveiliging verzwakt en criminaliteit in de kaart zou spelen. “Wanneer het DNS-protocol is gecodeerd, kan een organisatie niet langer gegevens van een DNS-query gebruiken om te weten of een gebruiker toegang probeert te krijgen tot een bekend kwaadaardig domein. Laat staan dat ze een blokkering of omleidingsactie kunnen activeren”, zegt Andrew Wertkin, Chief Strategy Officer bij BlueCat. Honderden cyberbeveiligingsoplossingen worden dus nutteloos zodra gebruikers DoH in hun browsers gaan gebruiken.

Het klopt dat DoH gebruikers in staat stelt om DNS-gebaseerde landen of provider-brede firewalls te omzeilen. Alleen is het ook zo, dat het nieuwe protocol ook DNS-gebaseerde blokkeerlijsten omzeilt, die doelbewust om legitieme redenen zijn ingesteld. Denk dan bijvoorbeeld aan het blokkeren van toegang tot websites over kindermishandeling of websites voorzien van terroristische content of met gestolen auteursrechtelijk beschermd materiaal.

Experts beweren dat DoH cyberbeveiliging verzwakt en criminaliteit in de kaart zou spelen.

Partijen als bijvoorbeeld de Government Communications Headquarters (GCHQ), een Britse inlichtingendienst, bekritiseert Google en Mozilla dat het nieuwe protocol politieonderzoek zou belemmeren. Zij zouden bestaande overheidsbescherming tegen kwaadwillende websites kunnen ondermijnen.

Dat zouden ze kunnen realiseren door slechte actoren middels DoH een manier te bieden om internetbewakingssystemen te omzeilen. Afgelopen juli werd Mozilla nog genomineerd door een Britse internetprovider voor de prijs  ‘2019 Internet Villain’. Mozilla had de nominatie te danken aan zijn plannen om DoH te ondersteunen.

Onderdrukkende landen

Een andere misleiding over DoH brengt volgens critici zelfs mensenlevens in gevaar. Beweringen dat het DoH-protocol mensen in onderdrukkende landen zou kunnen helpen, zijn niet juist. Zoals eerder aangegeven, verbergt DoH alleen DNS-verkeer, maar al andere data is nog steeds zichtbaar.

“Het is belangrijk om DoH te zien als een ‘zeer gedeeltelijke VPN’, die alleen DNS-pakketten codeert, maar alle andere pakketten ongewijzigd laat”, aldus PowerDNS. Gebruikers in onderdrukte landen zouden om die reden dan ook beter DoH-compatibele apps kunnen gebruiken in combinatie met Tor of VPN’s.