Net begonnen met DNS-over-HTTPS (DoH)? Geen zorgen! We hebben hier een lijst met veelgestelde vragen opgenomen, die u wellicht handig vindt terwijl u meer te weten komt over wat DoH te bieden heeft. Lees voor meer informatie Firefox DNS over HTTPS.
Inhoudsopgave
- 1 Hoe DNS over HTTPS werkt voor Firefox-gebruikers in regio’s waar we DoH als standaard hebben uitgerold
- 1.1 Wat is het privacybeleid voor DNS over HTTPS?
- 1.2 Worden gebruikers gewaarschuwd wanneer dit is ingeschakeld en kunnen ze het uitschakelen?
- 1.3 Kunnen gebruikers DoH uitschakelen?
- 1.4 Kunnen gebruikers vooraf afmelden?
- 1.5 Wat voor gevolgen heeft DoH op ondernemingen met aangepaste DNS-oplossingen?
- 1.6 Wat voor gevolgen heeft DoH op ouderlijk toezicht?
- 1.7 Kunnen netwerken niet gewoon steeds de controle van het kanariedomein aanroepen en DoH uitschakelen?
- 1.8 Conflicteert DoH met Content Delivery Networks (CDNs)?
- 1.9 Hoe gaat Firefox om met split-horizon DNS?
- 1.10 Valideren jullie DNSSEC?
- 2 DNS over HTTPS-partnerschappen
- 3 Meer over de implementatie van DNS over HTTPS van Firefox
Hoe DNS over HTTPS werkt voor Firefox-gebruikers in regio’s waar we DoH als standaard hebben uitgerold
Wat is het privacybeleid voor DNS over HTTPS?
Implementatie van DoH is deel van ons werk om gebruikers te beschermen tegen het steeds maar toenemende online volgen van persoonlijke gegevens. Om dat te doen, vereist Mozilla van alle DNS-providers die in Firefox kunnen worden geselecteerd dat ze voldoen aan ons resolverbeleid via een juridisch bindend contract. Deze vereisten stellen strenge grenzen aan het soort gegevens dat mag worden bewaard, wat de provider met die gegevens kan doen en hoe lang ze mogen worden bewaard. Dit strenge beleid is bedoeld om gebruikers te beschermen tegen providers die hun gegevens kunnen verzamelen en daar geld aan willen verdienen.
Worden gebruikers gewaarschuwd wanneer dit is ingeschakeld en kunnen ze het uitschakelen?
Ja, er wordt een notificatie getoond in Firefox en deze zal niet verdwijnen, totdat de gebruiker een beslissing neemt over het in- of uitschakelen van DNS-privacybescherming.
Kunnen gebruikers DoH uitschakelen?
Ja, ze kunnen DoH uitschakelen, hun eigen DoH-provider selecteren en andere configuratiewijzigingen uitvoeren vanuit het paneel DNS over HTTPS-beschermingsniveau’s configureren in Firefox. in de Firefox-instellingen, zoals uitgelegd in het artikel Ja, ze kunnen DoH uitschakelen vanuit de Firefox-netwerkinstellingen. Ze kunnen DoH uitschakelen en/of hun eigen DoH-provider selecteren, zoals hier uitgelegd.
Kunnen gebruikers vooraf afmelden?
Ja, u kunt handmatig network.trr.mode op 5 instellen in de Configuratie-editor voor Firefox. Extra informatie over de modi kan hier worden gevonden.
Wat voor gevolgen heeft DoH op ondernemingen met aangepaste DNS-oplossingen?
We hebben het voor ondernemingen eenvoudig gemaakt deze functie uit te schakelen. Daarbovenop detecteert Firefox of er ondernemingsbeleid is ingesteld op het apparaat en zal het DoH in die gevallen uitschakelen. Als u een systeembeheerder bent en geïnteresseerd bent om te leren hoe ondernemingsbeleid wordt ingesteld, bekijk dan de documentatie.
Wat voor gevolgen heeft DoH op ouderlijk toezicht?
We weten dat sommige internetproviders (ISP’s) DNS gebruiken om een dienst voor ouderlijk toezicht aan te bieden, die inhoud voor volwassenen blokkeert. Mozilla’s visie is dat DNS niet de beste benadering voor ouderlijk toezicht is, maar we willen ook geen bestaande services in het vaarwater zitten, dus we controleren een reeks ‘kanarie’domeinen voordat DoH wordt ingeschakeld. Als deze domeinen aangeven dat ouderlijk toezicht is ingeschakeld, dan schakelen we DoH uit. Lees voor meer informatie deze Mozilla-blogpost.
Kunnen netwerken niet gewoon steeds de controle van het kanariedomein aanroepen en DoH uitschakelen?
Ja, kanariedomeinen zijn een oplossing die de beste beveiliging biedt tegen netwerkaanvallers en die voorkomen dat bestaande implementaties niet meer werken. We zullen het gebruik ervan volgen, waarbij we misbruikincidenten onderzoeken en kijken naar maatregelen om die incidenten te beheersen.
Conflicteert DoH met Content Delivery Networks (CDNs)?
We zijn ons ervan bewust dat sommige CDNs gebruik maken van DNS-gebaseerde verkeerssturing die kan worden bïnvloed door DoH. Onze metingen tonen echter dat paginalaadtijden met DoH competitief zijn in vergelijking met gewone DNS-paginalaadtijden. Tijdens en na de uitrolperiode zullen we de prestaties van Firefox volgen om te beschouwen of er defecten zijn.
Hoe gaat Firefox om met split-horizon DNS?
Als Firefox een domein niet via DoH kan oplossen, valt het terug naar de DNS. Dit betekent dat domeinen die alleen beschikbaar zijn op de gewone DNS (omdat ze niet openbaar zijn) op die manier worden opgelost. Als u een domein hebt dat openbaar oplosbaar is, maar intern anders oplost, dan dient u ondernemingsbeleid in te stellen om DoH uit te schakelen.
Valideren jullie DNSSEC?
DNSSEC zorgt ervoor dat er niet met DNS-antwoorden is gerommeld tussen het moment van verzending en ontvangst, maar het versleutelt DNS-aanvragen en antwoorden niet. We hebben versleuteling van DNS met gebruik van DoH prioriteit gegeven, om de privacy van gebruikers te beschermen. We overwegen de toekomstige implementatie van DNSSEC.
DNS over HTTPS-partnerschappen
Welke resolver gebruikt Firefox?
In elk land waar we DoH uitrollen, maken we gebruik van een standaardresolver (zo is bijvoorbeeld in de VS de standaardresolver Cloudflare). Gebruikers kunnen ook kiezen uit een lijst van extra providers in ons Trusted Recursive Resolver-programma, dat overeenstemming met onze beleidsvoorwaarden met betrekking tot gebruikersprivacy en beveiliging vereist. Te zijner tijd verwachten we meer providers aan ons Trusted Recursive Resolver-programma toe te kunnen voegen. Daarbij is onze visie dat DoH algemeen wordt omarmd en wordt ondersteund door alle DNS-resolvers.
Hoe kiest Mozilla haar vertrouwde resolvers?
Onze standaardresolvers kunnen voldoen aan de strenge beleidsvoorwaarden die wij momenteel hanteren. Deze voorwaarden zijn verankerd in juridisch bindende contracten en zijn gepubliceerd in uitstekende privacyverklaringen, waarin dit beleid is vastgelegd en die transparantie voor gebruikers biedt.
Wordt Mozilla betaald om DNS-aanvragen naar haar standaardresolvers te sturen?
Er wordt geen geld uitgewisseld om DNS-aanvragen naar onze standaardresolverpartners te sturen.
Verdienen Mozilla of haar standaardresolvers geld aan deze gegevens?
Nee, ons beleid verbiedt expliciet om geld aan deze gegevens te verdienen. Ons doel met deze functie is om belangrijke bescherming van de privacy aan onze gebruikers te bieden en het moeilijker te maken voor bestaande DNS-resolvers om geld te verdienen aan DNS-gegevens van gebruikers.
Meer over de implementatie van DNS over HTTPS van Firefox
Wat is jullie uitrolschema?
We hebben in 2019 DoH als standaard naar Firefox-gebruikers in de VS uitgerold, in Canada in 2021 en in Rusland en Oekraïne in maart 2022. Momenteel plannen we de als-standaard-uitrol in meer regio’s.
Rollen jullie dit standaard uit in Europa?
Als onderdeel van onze doorlopende strategie om voorzichtig de voordelen en gevolgen van DoH te meten, hebben we tot nu toe deze functie in als standaard in Rusland, Oekraïne, de VS en Canada uitgegeven.
Waarom implementeert Firefox DoH en niet DoT?
De IETF heeft twee DNS over beveiligde transportprotocollen gestandaardiseerd: DNS-over-TLS (DoT) en DNS-over-HTTPS (DoH). Deze twee protocollen hebben over het algemeen vergelijkbare beveiligings- en privacyeigenschappen. We hebben voor DoH gekozen, omdat we geloven dat dit beter past bij onze bestaande volwassen browser-netwerkstack (die gericht is op HTTP) en het een betere ondersteuning biedt voor toekomstige protocolfuncties, zoals HTTP/DNS-multiplexing en QUIC.
Is DoT gemakkelijker voor netwerkoperators te detecteren en te blokkeren?
Ja, we denken niet dat dit een voordeel is. Firefox biedt mechanismen voor netwerkoperators om aan te geven dat ze legitieme redenen hebben om DoH uit te schakelen. We geloven niet dat het blokkeren van de verbinding met de resolver een passende respons is.
Lekt de Server Name Indication (SNI) niet gewoon domeinnamen?
Ja, hoewel niet alle domeinnamen worden gelekt door SNI, zijn we bezorgd over SNI-lekken en zijn we begonnen te werken aan Versleutelde SNI.
Wat is DoH-heuristiek?
Dit is een set van controles die Firefox uitvoert voordat DoH standaard wordt ingeschakeld voor gebruikers in de uitrolregio’s, om te bekijken of het inschakelen van DoH een negatieve impact heeft. (Deze controles worden genegeerd als u DoH expliciet hebt ingeschakeld.) DoH blijft bijvoorbeeld uitgeschakeld als ondernemingsbeleid of ouderlijk toezicht zijn ingeschakeld. Lees voor meer info Security/DNS Over HTTPS/Heuristics en Netwerken configureren om DNS over HTTPS uit te schakelen.