Wat is DNS over HTTPS en hoe zet je het aan in je browser?

Wat is DNS over HTTPS?

DNS (domain name server) kun je vergelijken met het telefoonboek van internet. Je typt de websitenaam/domeinnaam in waar je heen wilt - www.gratissoftware.nl bijvoorbeeld - en dan zoekt het DNS protocol automatisch het goede IP-adres op van de server waar deze website op staat, zodat je bij de juiste webpagina uitkomt (77.74.54.61 is het IP-adres van de server van www.gratissoftware.nl).

Dit DNS protocol is al heel oud en tot nu toe gebeurde dit opzoeken van het IP-adres altijd onbeveiligd, zodat tussenliggende partijen kunnen zien welke website jij gaat bezoeken en kwaadwillenden je zelfs naar de verkeerde server en website kunnen sturen.

Daarom is het DNS over HTTPS protocol bedacht, dat de informatie versleutelt zodat deze niet door iedereen in te zien is. Dit is net zoals websites met HTTPS een versleutelde verbinding aanbieden zodat informatie die je invult beveiligd verzonden wordt en niet afgeluisterd kan worden.

Waarom DNS over HTTPS?

Met name in de Verenigde Staten speelt het probleem dat ISP's (internet providers) surfgedrag van hun klanten verzamelen via de onversleutelde DNS-verzoeken en doorverkopen aan derde partijen. DNS over HTTPS gaat dit tegen.

Ook kunnen tussenliggende partijen (internet criminelen, geheime diensten) door DNS over HTTPS niet knoeien met de DNS-gegevens en je niet meer naar een verkeerde site (verkeerde IP-adres) sturen.

Nadelen

Er zitten echter ook nadelen aan DNS over HTTPS. Door dit protocol wordt het bijvoorbeeld lastiger om malware en bepaalde schadelijke websites te blokkeren (via onder andere het hosts-bestand) en ouderlijk toezicht uit te voeren. En DNS-verkeer komt bij een paar aanbieders van DNS over HTTPS terecht (zoals CloudFlare), die je ook maar weer moet vertrouwen. Lees op Tweakers uitgebreide uitleg over DNS over HTTPS en zijn voor- en nadelen.

Update 27 februari:

Let op!

Als je zelf het hosts-bestand hebt aangepast op je pc om websites te blokkeren dan werkt dit niet meer als je in Firefox DNS over HTTPS hebt ingeschakeld. Firefox omzeilt dan het hosts-bestand.

Opera met DNS over HTTPS aan raadpleegt wel eerst je hosts-bestand en blokkeert dus gewoon de vermelde websites in je hosts-bestand.

Als je ouderlijk toezicht gebruikt of het hosts-bestand om schadelijke websites te blokkeren dan kunnen deze functies niet meer werken na het inschakelen van DNS over HTTPS!

Hoe zet je DNS over HTTPS aan in je web browser?

Als je DNS over HTTPS wilt aanzetten dan kan dat in Firefox en Opera. Ook Chrome heeft wat beperktere mogelijkheden tot DNS over HTTPS.

Firefox

Ga naar Instellingen | Algemeen | Netwerkinstellingen en klik op Instellingen

Zet dan een vinkje bij DNS over HTTPS inschakelen en kies een DNS provider (CloudFlare, NextDNS of je eigen).

Opera

Je kunt DNS over HTTPS in Opera 67 aanzetten onder Instellingen | Geavanceerd | Systeem (heel eind naar beneden scrollen). Zet schakelaar aan bij Gebruik DNS-over-HTTPS en kies een DNS provider (CloudFlare, Google of je eigen).

Google Chrome

Chrome heeft een wat beperktere implementatie van het DNS over HTTPS protocol. Alleen als je zelf een DNS provider hebt ingesteld die DNS over HTTPS (DoH) ondersteunt kun je er gebruik van maken. En dan ook nog alleen als dit Google zelf, CloudFlare, Cleanbrowsing, DNS.SB, OpenDNS of Quad9 zijn.

Alleen als je dus zelf je DNS provider hebt gewijzigd in een van de bovenstaande heeft het zin om de volgende stap te nemen!

Typ (of kopieer) chrome://flags in de adresbalk van Chrome, vul in het zoekvakje dns in en zoek hierop. Zet de schakelaar aan (Enabled) bij Secure DNS Lookups.


Als je niet weet hoe je zelf op je besturingssysteem een alternatieve DNS provider moet instellen dan heb je dus niks aan deze instelling in Chrome. Alleen voor gevorderden dus!

Deel dit artikel: 

Reacties

> tot nu toe gebeurde dit opzoeken van het IP-adres altijd over onbeveiligde HTTP-verbindingen

Uh... whut? Ik stel voor om dit aan te passen naar "tot nu toe gebeurde dit opzoeken van het IP-adres altijd onbeveiligd". Het DNS protocol is inderdaad onbeveiligd, maar gaat niet over een (statefull) verbinding en zeker niet over HTTP, maar bijna altijd over port 53 met UDP. en soms TCP (zie bijv. https://www.rfc-archive.o..., sectie 4.2. Transport). TCP heeft relatief veel overhead t.o.v. een simpel request/response datagram bij UDP.

Check!

Absoluut niet gebruiken!

Heel slechte zaak dat gratissoftware dit gaat aanbevelen voor de gemiddelde pc gebruiker en slechts klein stukje in verhaal over de nadelen gaat!

Nadelen:

Er zitten echter ook nadelen aan DNS over HTTPS. Door dit protocol wordt het bijvoorbeeld lastiger om malware en bepaalde schadelijke websites te blokkeren. En DNS-verkeer komt bij een paar aanbieders van DNS over HTTPS terecht (zoals CloudFlare), die je ook maar weer moet vertrouwen. Lees op Tweakers uitgebreide uitleg over DNS over HTTPS en zijn voor- en nadelen. https://tweakers.net/revi...

!. bv al je host instellingen worden omzeild
2. al je dns verkeer gaat naar commerciele aanbieder die daarvan keurige data base kan loggen!

NIET DOEN!

Wat punt twee betreft: in Firefox en Opera kun je ook je eigen DNS over HTTPS provider kiezen.

Punt 1 is inderdaad van belang als je zelf het host-bestand gebruikt om sites te blokkeren. Dan is DoH in Firefox niet aan te raden. In onze test bleek dat Opera nog wel gebruik maakt van het hosts-bestand als DoH is ingeschakeld. Je kunt Opera dan wel gebruiken met DoH en Hosts-bestand. Van Chrome weten we het niet.

Bedankt voor het melden en de tekst is aangepast met een waarschuwing.

Ik heb het Tweakers-artikel gelezen. Verhelderend. Ik ga het ook NIET doen.

@Willem Franssen

Was bij mij ook zo, dit zal wel standaard zijn op FF.
Je moet nog wel het vakje 'DNS over HTTPS inschakelen' aanvinken.'

Bedankt Cornelis.

Redactie, bedankt voor de tip. Ik heb het gecontroleerd en bij mij staat Firefox al automatisch ingeschakeld op 'Proxy instellingen van systeem gebruiken'. Wat betekent dat en is dit voldoende?

In het artikel staat uitgelegd - met afbeelding en rode pijltjes - dat je nog wel een vinkje bij DNS over HTTPS inschakelen moet zetten.

Jij hebt het artikel dus niet goed gelezen voordat je een reactie gaf. Eerst goed lezen.

Reageren

Plain text

  • Toegelaten HTML-tags: <a> <em> <strong> <br> <br /> <i> <b> <p>
  • Regels en alinea's worden automatisch gesplitst.
  • Adressen van webpagina's en e-mailadressen worden automatisch naar links omgezet.
Controlevraag tegen spam
oostenr_jk