DNS Privacy: DNS-innovaties ter bescherming van je privacy

DNS Privacy is een ‘hot topic’ binnen de internetgemeenschap. Diverse innovaties ter verbetering zagen de afgelopen jaren het levenslicht. Een recente ontwikkeling, DNS over HTTPS (DoH) springt er opvallend uit en leidde tot controverse. We leggen uit hoe het zit.

Inleiding

De afgelopen jaren is hard gewerkt aan het verhogen van de veiligheid van het DNS-protocol. Zo zorgt DNSSEC ervoor dat het vervalsen van DNS-antwoorden nagenoeg onmogelijk wordt. Inmiddels is ruim 53% van alle ruim 5,8 miljoen .nl-domeinnamen hiermee beveiligd. Maar DNSSEC beschermt niet tegen het afluisteren van het verkeer. En wie mee kan kijken met het DNS-verkeer van een gebruiker, leert ontzettend veel over zijn of haar internetgedrag, zelfs als de rest van het verkeer versleuteld wordt. Dit vormt een inbreuk op de privacy.

De hernieuwde aandacht voor privacy initieerde een reeks DNS-innovaties onder de noemer ‘DNS privacy’. Deze komen er grotendeels op neer dat DNS-verkeer tegen meekijken wordt afgeschermd. De verschillende technieken die hiervoor zijn bedacht beschrijven we in een separaat achtergrondartikel.

DNS Privacy

DNS-privacy gaat dus met name over het afschermen van DNS-verkeer. In de meeste gevallen komt dat neer op versleutelde communicatie, bijvoorbeeld met behulp van TLS. Maar ook binnen een HTTPS-verbinding kan DNS-verkeer tegenwoordig op een gestandaardiseerde manier plaatsvinden.

Controverse rondom DNS over HTTPS (DoH)

Dit zogenaamde DNS over HTTPS (DoH) is een opmerkelijke ontwerpkeuze, die de nodige wenkbrauwen heeft doen fronzen. Op die controverse gaan we hier wat dieper in.

De bedenkers van DoH hadden bepaalde scenario’s in hun achterhoofd. Denk bijvoorbeeld aan een statelijke actor, die meegluurt en eventueel valse DNS-informatie probeert te injecteren. Of denk een ISP die DNS-data van gebruikers doorverkoopt aan derden.

Hiertegen wil DoH zich weren. Het idee is dat het DNS-verkeer als het ware meelift in versleuteld HTTPS-verkeer en gestuurd wordt naar een (externe) resolver die voldoende wordt vertrouwd; de zogenaamde Trusted Recursive Resolver (TRR). Er wordt dus geen apart protocol, of een apart poortnummer voor gebruikt. Het DNS-verkeer is daardoor niet meer te onderscheiden en ingrijpen (filteren) wordt zodoende lastiger gemaakt.

Daarbij wordt voorbij gegaan aan het feit dat er ook hele legitieme redenen zijn om DNS-verkeer te filteren. Denk bijvoorbeeld aan een DNS-filter dat gebruikers behoedt voor het bezoeken van malafide websites. In bepaalde netwerken hebben systeembeheerders moeite gestoken in het beschermen van gebruikers met behulp van dit soort DNS-firewalls. Maar met DoH kunnen die eenvoudig worden gepasseerd, soms zelfs zonder dat de gebruiker dit bewust doet. En dat is tegen het zere been van de systeembeheerders, die daardoor problemen voorzien bij de bescherming van hun netwerk.

De waarde van DNS

DNS is belangrijk en dat verklaart een aantal van de recente ontwikkelingen, onder meer op het gebied van DoH. Ten eerste is dit protocol natuurlijk onmisbaar voor de goede, soepele werking van het internet. Maar het dient ook, zoals hierboven vermeld, als aangrijpingspunt om gebruikers te beveiligen.

DNS is daarnaast ook een effectieve manier om gebruikers te profileren. En gebruikersgedrag is geld waard. Hoewel in Nederland niet echt een gangbare praktijk, zijn er in andere landen ISP’s die het surfgedrag van hun gebruikers in kaart brengen op basis van hun DNS-verkeer. Die informatie kunnen ze verkopen aan adverteerders.

DNS resolving (als een dienst) is dus een interessante potentiele markt of op zijn minst een uiterst waardevolle bron van informatie. Dit verklaart wellicht dat bedrijven als Google, CloudFlare en Quad9 zich hier enthousiast op hebben gestort.

DNS-dienst in je webbrowser

De werking van DNS speelt ook een rol bij de gebruikerservaring. Een slecht presterend DNS, zal een trager ladende webpagina opleveren. Makers van webbrowsers weten dit. Ze streven naar een zo goed mogelijke gebruikerservaring en daarom heeft DNS ook hun bijzondere aandacht.

Softwareleveranciers van bijvoorbeeld Chrome, FireFox of zelfs Android, willen veiligheid, privacy en een goede gebruikerservaring bieden aan hun gebruikers. Ze zijn zelf aan de slag gegaan met DNS en hebben versleutelde ‘privacy-vriendelijke’ DNS ingebouwd in hun producten. Ze hebben daarbij merendeels [1] gekozen voor DNS over HTTPS. Immers, HTTPS kennen ze heel goed ze kennen daarvan de diverse mogelijkheden. Hun enthousiasme verklaart de opvallend snelle ontwikkeling en adoptie van het DoH-protocol.

Google heeft zelf een grote publieke DNS-dienst en gaat die ongetwijfeld voor zijn producten inzetten. Mozilla heeft daarentegen gekozen voor een samenwerking met CloudFlare als ‘Trusted Recursive Resolver’ (TRR). Nu nog als experimentele verborgen optie, die standaard uitgeschakeld is. Maar men denkt er serieus over na om dit te veranderen.

Uiteraard heeft CloudFlare er belang bij dat hun publieke DNS resolver-dienst aan zo’n bekende browser als FireFox is gekoppeld. Zelf promoot CloudFlare zijn dienst daarnaast ook nog met onder andere mobiele apps voor Android en iOS.

Als we in de inderdaad gaan zien dat grote bedrijven als Google en Mozilla eigenhandig het DNS-verkeer binnen hun producten gaan afhandelen via voorkeurspartijen of eigen services, buiten de bestaande traditionele kanalen om, dan heeft dat nogal wat gevolgen en dan zien we ook hier een verdere centralisatie van het internet.

Gemengde reacties

De reacties op bovenstaande ontwikkelingen zijn gemengd. Ze roepen weerstand op bij security-experts en deskundigen op het gebied van privacy. Sommigen vallen over de samenwerking tussen Mozilla en CloudFlare, omdat ze geen vertrouwen hebben in de vermeende goede bedoelingen van met name het commerciële CloudFlare. Ze stellen dat de Trusted Recursive Resolver van CloudFlare het privacy-probleem hooguit verplaatst, maar niet oplost.

Anderen wijzen op operationele risico’s, zoals schaalbaarheid of netwerkbeveiliging. Ze willen niet dat hun gebruikers, al dan niet onbewust, terecht komen bij een niet door hen beheerde DNS-resolver.

Juristen vragen zich af of zaken niet strijdig zijn met de AVG/GDPR of met regels rondom netneutraliteit.

De criticasters willen op zijn minst meer keuzevrijheid voor de gebruiker. Ze vrezen dat gebruikers alsnog ten prooi vallen aan commerciële bedrijven die het gemunt hebben op hun surfgedrag, terwijl juist het idee was dat die gebruiker zich daaraan zou kunnen onttrekken. Terecht stellen ze vast dat gebruikers bij gebruik van DoH juist extra kunnen worden ‘gefingerprint’ - vanwege de extra informatie die kan worden meegeven bij een connectie. Daarmee zouden ze qua privacy dus van de regen in de drup kunnen komen.

Want wat zijn de consequenties als FireFox inderdaad per default en ongevraagd DNS over HTTPS gaat uitrollen in samenwerking met CloudFlare 1.1.1.1? Dat is een commerciële onderneming, met aandeelhouders, die valt onder Amerikaans recht. Hoe veilig is de DNS-data daar op termijn? En welke regelgeving garandeert dat? In Nederland zijn ISP’s gehouden aan de AVG/GDPR. Maar hoe zit dat elders? 

Verlies van controle

Zoals al aangegeven wordt controle op het DNS-verkeer ook dikwijls te goeder trouw gebruikt om netwerken te beveiligen. Met behulp van DNS-firewalls kan worden voorkomen dat de gebruiker naar een malafide website wordt geleid, of naar een site gaat die volgens het geldende security-beleid niet mag worden bezocht. Of er kan worden ingegrepen als een IoT-apparaat ineens onderdeel wordt van een botnet en instructies gaat ontvangen via het DNS of data gaat lekken naar buiten toe via het DNS. Dat geldt bijvoorbeeld ook voor ons eigen SPIN-project. Bij een ongecontroleerde wildgroei van DNS over HTTPS, komt zo’n beveiligingsbeleid onder druk te staan en is het lastiger te handhaven.

Wat vanuit operationeel perspectief eveneens zorgen baart, is het idee dat applicaties, zoals de browser, eigenhandig met externe resolver-diensten gaan communiceren in plaats van centraal, via een uniforme methode. Dit vertroebeld het beeld en maakt foutopsporing ingewikkelder. En hoewel dit niet exclusief een DoH-probleem is, zien we dit juist met DoH nu wel gebeuren.

Kortom, genoeg vragen

Bovenstaande verklaart waarom juist DNS over HTTPS tot controverses heeft geleid. Als techniek is het simpel, laagdrempelig en doeltreffend. Maar tegelijkertijd zijn er vragen en kanttekeningen rondom de praktische toepassing ervan en de razendsnelle ontwikkelingen zoals die zich nu voltrekken.

Het is nog te vroeg voor definitieve conclusies, want het kan nog alle kanten op. Hoe het uitgekristalliseerde plaatje eruit zal zien is onzeker. Zeker is dat er behoorlijk ingrijpende veranderingen zullen plaatsvinden. Het is daarom van belang deze ontwikkelingen te blijven volgen en te duiden en waar mogelijk in de juiste richting bij te sturen. Vanuit SIDN Labs zullen we ons daar ook in de komende tijd sterk voor maken.

Meer technische achtergrondinformatie bij dit onderwerp.

[1] Yandex heeft gekozen voor DNScrypt.

Reacties

  • zondag 17 juni 2018

    Nieuws

    Het groene slotje biedt geen garanties. Maar wat dan wel?

    Thumb-https

    Hoe laat je zien dat jouw website wel betrouwbaar is?

    Lees meer
  • maandag 22 juli 2019

    Weblog

    Tijd voor ENTRADA 2.0

    Thumb-the-word-big-data-on-binary-background

    Compleet vernieuwd ENTRADA-platform met cloud support

    Lees meer
  • dinsdag 16 april 2019

    Nieuws

    Aantal met DANE beveiligde mail-domeinen groeit inmiddels exponentieel

    Thumb-close-up-of-screen-with-mailbox-with-1-new-message

    .nl-zone speelt voortrekkersrol

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.