Netwerken configureren om DNS over HTTPS uit te schakelen

Firefox Firefox Laatst bijgewerkt: 1 week, 6 dagen ago

Bij Mozilla geloven we dat DNS over HTTPS (DoH) een functie is die iedereen zou moeten gebruiken ter verbetering van hun privacy. Door deze DNS-aanvragen te versleutelen, verbergt DoH uw surfgegevens voor iedereen op het netwerkpad tussen u en uw naamserver. Zo kunnen bijvoorbeeld standaard DNS-zoekopdrachten op een publiek netwerk in potentie elke door u bezochte website aan andere gebruikers op het netwerk en de netwerkprovider onthullen. Hoewel we iedereen zouden willen aanraden om DoH te gebruiken, moeten we ook erkennen dat er een paar omstandigheden zijn waaronder DoH niet wenselijk kan zijn, namelijk:

  • Netwerken die een vorm van filtering via de standaard DNS-resolver hebben ingesteld. Dit kan typisch worden gebruikt voor ouderlijk toezicht of om toegang tot kwaadwillende websites te blokkeren.
  • Netwerken die reageren op namen die privé zijn, en/of die andere antwoorden geven dan in het openbaar. Zo kan bijvoorbeeld een bedrijf alleen het adres van een toepassing die door eigen medewerkers op hun interne netwerk laten zien.

Netwerken kunnen Firefox laten weten dat dergelijke speciale functies worden gebruikt die zouden worden uitgeschakeld als DoH zou worden gebruikt voor het oplossen van domeinnamen. De controle op dit signaal zal worden geïmplementeerd in Firefox wanneer DoH standaard voor gebruikers wordt ingeschakeld. Dit gebeurt als eerste voor gebruikers in de Verenigde Staten in de herfst van 2019, in Canada in de zomer van 2021 en in Rusland en Oekraïne in maart 2022. Als een gebruiker ervoor kiest om DoH handmatig in te schakelen, dan wordt het signaal van het netwerk genegeerd en de voorkeursinstelling van de gebruiker gevolgd.

Netwerkbeheerders kunnen hun netwerken configureren om DNS-verzoeken voor een kanariedomein anders te behandelen, om te signaleren dat hun lokale DNS-resolver speciale functies implementeert die het netwerk ongeschikt maakt voor DoH.

Naast het hierboven beschreven kanariedomeinsignaal, voert Firefox enkele controles op netwerkfuncties die niet compatibel met DoH zijn, voordat het voor een gebruiker wordt ingeschakeld. Deze controles worden uitgevoerd bij het starten van de browser, en elke keer dat de browser detecteert dat het verbinding heeft met een ander netwerk, zoals wanneer een laptop thuis wordt gebruikt, op het werk, en in een koffiebar. Wanneer een van deze controles wijst op een potentieel probleem, dan schakelt Firefox DoH uit voor de rest van de netwerksessie, tenzij de gebruiker de voorkeursinstelling ‘Altijd DoH’ zoals hierboven genoemd heeft ingeschakeld. De aanvullende controles die worden uitgevoerd voor inhoudsfiltering zijn:

  • Kanariedomeinen van bepaalde bekende DNS-providers oplossen om inhoudsfiltering te detecteren.
  • De ‘safe-search’-varianten van google.com en youtube.com oplossen om te bepalen of het netwerk naar ze doorverwijst.
  • Op Windows en macOS, detecteren of ouderlijk toezicht in het besturingssysteem is ingeschakeld.

De aanvullende controles die worden uitgevoerd voor private ‘bedrijfs’-netwerken zijn:

  • Is de voorkeursinstelling security.enterprise_roots.enabled in Firefox ingesteld op true?
  • Is er een bedrijfsbeleid geconfigureerd?

Was dit artikel nuttig?

Een moment geduld…

Deze aardige mensen hebben geholpen bij het schrijven van dit artikel:

Illustration of hands

Vrijwilliger worden

Laat uw expertise groeien en deel deze met anderen. Beantwoord vragen en verbeter onze kennisbank.

Meer info