• Home
  • Blog
  • Minister: Gevolgen versleuteling DNS-verkeer moeilijk te overzien

Minister: Gevolgen versleuteling DNS-verkeer moeilijk te overzien

21-08-2020
Geen reacties
Nieuws

Volgens minister Grapperhaus van Veiligheid en Justitie is het moeilijk in te schatten wat de opkomende trend van het versleutelen van DNS-verkeer uiteindelijk voor impact zal hebben op het internet. Er zijn volgens hem (en dan natuurlijk ook met name zijn technisch adviseurs) namelijk zowel voordelen en nadelen aan verbonden. Het versleutelen van je DNS-oproepen is op dit moment al mogelijk bij veel VPN's, maar de kwestie is relevanter dan ooit omdat browser FireFox het onlangs heeft toegevoegd en zelfs standaard aan heeft gezet voor alle Amerikaanse gebruikers. Ook andere browsers hebben aangekondigd binnenkort standaard het DNS verkeer te gaan versleutelen om de veiligheid van gebruikers te vergroten. Het is echter nog niet duidelijk of dit de privacy van gebruikers nu verbetert of juist zou kunnen verslechteren.

Wat is DNS verkeer en waarom wordt dit steeds vaker versleuteld?

Wanneer je een website bezoekt moet het makkelijk leesbare internetadres worden omgezet naar het IP-adres van de server waar de site zich bevindt. Dat wordt geregeld door zogenaamde DNS-servers, die zich uitsluitend bezighouden met het omzetten van domeinnamen naar IP-adressen. Standaard worden die verzoeken niet versleuteld, zodat elke DNS-server kan zien welke websites jij bezoekt. Veel Amerikaanse ISP's hadden zelfs een winstmodel ontwikkeld waarbij het DNS-verkeer van hun klanten schaamteloos werd doorverkocht aan adverteerders. Iets dat in Europa gelukkig niet is toegestaan. Helaas is echter niet te garanderen dat dit nooit voor zal komen, vanwege het feit dat DNS-verkeer van nature niet versleuteld wordt verzonden.

DNS over HTTPS

Wanneer je ook DNS verzoeken over een HTTPS verbinding stuurt wordt dit DOH genoemd (DNS Over HTTPS). Zelfs met een standaard VPN-verbinding wordt het DNS-verkeer vaak nog onversleuteld verzonden. Steeds meer VPN-providers bieden DOH inmiddels echter als extra service, die dan bijvoorbeeld een bescherming tegen DNS leaks wordt genoemd. De techniek kwam vorige maand ineens in het nieuws doordat browser Firefox het voor al zijn gebruikers standaard had geactiveerd. Andere grote spelers op de browsermarkt zoals Google en Microsoft bleken met vergelijkbare plannen bezig te zijn. De kwestie rondom de nieuwe technologie is daardoor ineens op het netvlies van zowel gewone gebruikers als de politiek gekomen.

Goede oplossing of juist meer problemen?

Bij DOH oplossingen worden DNS verzoeken alleen versleuteld verstuurd en ontvangen door enkele vertrouwde partijen. In het geval van FireFox zijn dat echter uitsluitend Amerikaanse providers. Dat is dan ook meteen een van de grootste bezwaren tegen deze ontwikkeling. Na kritiek uit met name Europa is de activering van DOH in FireFox voor gebruikers buiten de VS daarom inmiddels alweer teruggedraaid. Daarvoor in de plaats is nu de optie gekomen om het zelf aan te zetten en dan zelfs je eigen DSN resolver te kiezen, maar daarover meer verderop in dit artikel.

Wie kan je DNS-verkeer inzien?

Wanneer je als FireFox gebruiker standaard alleen nog maar gebruik maakt van DNS-servers die in de Verenigde Staten staan, dan ben je zonder twijfel inderdaad beter beschermd tegen malafide DNS-servers of hackers die op hetzelfde openbare netwerk zitten als jij. Die kunnen namelijk niet meer zien welke sites jij bezoekt. Maar daar staat tegenover dat de enige servers die vertrouwd worden door FireFox in de VS staan. En het is nu eenmaal zo dat de Verenigde Staten in de binnenste ring zit van landen waar veiligheidsdiensten vrijwel onbeperkte toegang hebben tot het internetverkeer. Dat kan uiteindelijk dus ook nog veel groter risico's inhouden.

Minister Grapperhaus informeert Tweede Kamer

Naar aanleiding van de recente ontwikkelingen wilde de Tweede Kamer graag weten hoe minister Grapperhaus van Veiligheid en Justitie tegen deze hele kwestie aan keek. Hij liet zijn experts daarom een verslag opstellen over de techniek DOH en de implcaties ervan voor de privacy en veiligheid. Daarbij werd niet alleen gekeken naar de impact op gebruikers, maar ook de gevolgens voor de veiligheidsdiensten. Voor hen zou het namelijk weer een stukje lastiger worden om DNS-verkeer te achterhalen van verdachten. Proberen het versleutelen tegen te houden is volgens Grapperhaus echter sowieso een onbegonnen zaak. Het is volgens hem vooral belangrijk hoe de techniek uiteindelijk door browserfabrikanten zal worden ontworpen of het de privacy van gebruikers ten goede zal komen.

Ontwikkelingen staan allerminst stil

In de tussentijd heeft FireFox alvast niet stil gezeten, want inmiddels kun je in de opties van je browser een DNS-resolver kiezen die je zelf vertrouwt. Dat kan bijvoorbeeld de experimentele DOH-server van .NL domeinbeheerder SIDN zijn. Die moet je dan wel handmatig invullen, want hij staat niet bij de standaard toegevoegde resolvers. SIDN roept de Nederlandse internetters die interesse hebben in de technologie of privacy in het algemeen om daar vooral zelf mee te gaan experimenteren. Zo zei Moritz Müller van SIDN Labs onlangs nog tegen Tweakers dat gebruikers ook vooral goed moeten nadenken over wanneer ze DOH inschakelen. Op een openbaar netwerk zou dat volgens hem in elk geval altijd een goed idee zijn. In veel andere situaties zou het zowel niet nodig als ronduit onwenselijk kunnen zijn.

Reageer op deze blog

Velden met * zijn verplicht

Rubrieken

Wij gebruiken cookies We kunnen deze plaatsen voor analyse van onze bezoekersgegevens, om onze website te verbeteren, gepersonaliseerde inhoud te tonen en om u een geweldige website-ervaring te bieden. Voor meer informatie over de cookies die we gebruiken opent u de instellingen. Bekijk onze cookiepagina
Accepteer alles
Weigeren