Mozilla genomineerd voor Internet Villain parody-award voor zijn DNS-over-HTTPS-protocol

Mozilla is door de Engelse Internet Services Providers Association (ISPAUK) genomineerd voor de Internet Villain-award. De browsermaker krijgt de parody-nominatie van de sectorvereniging voor internetproviders vanwege zijn plannen om het DNS-over-HTTPS (DoH)-protocol in zijn Firefox-browser te ondersteunen.

Volgens de ISPAUK omzeilt Mozilla met zijn plannen de Britse filterverplichtingen en ouderlijk toezicht, waardoor internetveiligheidsnormen in het VK worden ondermijnd, aldus ZDnet. 

Mozilla en ook Google liggen als twee maanden onder vuur betreffende hun plannen om DNS-over-HTTPS te ondersteunen in hun browsers, respectievelijk Firefox en Chrome. Kritiek komt met name vanuit de Britse regering als ook van verschillende belangenbehartigingsgroepen.

Gecodeerde HTTPS-verbinding

Het DNS-over-HTTPS-protocol (IETF RFC8484) werkt door DNS-aanvragen via een gecodeerde HTTPS-verbinding te verzenden. Anders dan een klassieke UDP-vraag met platte tekst te gebruiken als klassieke DNS. Naast dat het encrypted is, werkt het DoH-protocol, in plaats van op besturingssysteemniveau, op app-niveau. Alle DNS-over-HTTPS-verbindingen vinden plaats tussen een app – zoals een browser of mobiele app – en een veilige DoH-compatibele DNS-server, een zogeheten resolver.

Al het DoH-verkeer is eigenlijk gewoon HTTPS. DoH-domeinnaamvragen worden versleuteld en vervolgens verborgen in regulier webverkeer, dat naar de DNS-resolver van DoH wordt gestuurd. Deze antwoordt vervolgens met het IP-adres van een domeinnaam, ook in gecodeerde HTTPS. Alleen betekent dit ook dat elke app de privacy van zijn DNS-query’s bepaalt. Bovendien kan het een lijst met DNS-over-HTTPS-servers in zijn instellingen hardwiren en is het niet afhankelijk van de standaardinstelling van het besturingssysteem. Ook niet van de meest waarschijnlijk DoH-niet-compatibele DNS-servers.

Nachtmerrie voor internetproviders

DNS-verzoeken van een gebruiker worden door dit protocolontwerp onzichtbaar voor derden. Denk dan aan en alle DoH DNS-query’s en antwoorden die verborgen zitten in een cloud van gecodeerde verbindingen, niet te onderscheiden van het andere HTTPS-verkeer. 

Dat maakt het protocol een nachtmerrie voor internetproviders en makers van netwerkbeveiligingsapparatuur, die in het Verenigd Koninkrijk wettelijk worden verplicht om bepaalde soorten websites te blokkeren. Het gaat dan onder meer om sites met extremistische inhoud, pornografische afbeeldingen, kinderpornografie en video’s met auteursrechtschendende inhoud.

‘Bedreiging Britse online veiligheid’

Thornton, een parlementslid voor de Labour Party, noemde de plannen van Mozilla en Google zelfs een bedreiging voor de Britse online veiligheid. Zo ook zou het nieuwe protocol het politieonderzoek belemmeren, aldus de Britse geheime dienst.  Bestaande overheidsbescherming tegen kwaadwillende websites zouden door het nieuwe protocol kunne  worden ondermijnd. 

DoH wordt momenteel niet ondersteund in de stabiele versies van Firefox en Chrome. Google test DoH-ondersteuning nog steeds in Chrome, terwijl Mozilla een succesvolle DoH-test in Firefox heeft voltooid. Mozilla heeft dan ook officieel aangekondigd dat het de functie in de stabiele branche wil ondersteunen. Al heeft de browsermaker nog geen tijdlijn uitgegeven.

Lees ook: Facebook maakt projecten om prestaties browser te boosten open source