Vraagt de introductie van DoH om regulering van browsers?

Browsers krijgen meer macht

In de internetwereld is veel te doen over de implementatie van een nieuw protocol: DNS-over-HTTPS (DoH). DoH maakt internetten in principe weer iets veiliger en het draagt bij aan de privacy van internetgebruikers, maar tegelijkertijd luidt het mogelijk ook een aantal grote veranderingen voor het DNS in. Zo grijpt de webbrowser Firefox DoH aan om DNS-verzoeken af te laten handelen door partijen in de VS waarmee zij samenwerken, maar waar internetgebruikers in Nederland geen relatie mee of weet van hebben en die ook niet onder de AVG vallen. De vraag is of browsers die macht op een goede manier gaan gebruiken of dat dit door regelgeving afgedwongen moet worden.

Versleuteling van DNS-verkeer is nuttig

DNS over HTTPS, vaak afgekort als DoH, is de versleuteling van het DNS-verkeer. Via het DNS achterhaalt je browser onder welk IP-adres je een website onder een specifieke domeinnaam kan vinden. Daarmee is het een essentieel protocol. Het verkeer bestaat uit een uitwisseling van vragen en antwoorden tussen verschillende machines. Standaard wordt die vraag door de browser via een “stomme” stub-resolver van je computer of telefoon gesteld aan een recursive-resolver in het netwerk. Vanaf je thuisnetwerk en voor je telefoon is dat bijvoorbeeld je internetprovider en op je werk is het typisch de resolver van jouw bedrijf. Als je op een publiek wifi-netwerk inlogt, zoals bij een restaurant of in de trein, heb je vaak geen idee aan welke resolver jouw DNS-vragen worden gesteld. Op zo’n moment is het DNS-verkeer niet versleuteld. De vragen worden onversleuteld verzonden en zijn hierdoor onderweg eenvoudig door derden uitleesbaar en manipuleerbaar. Versleuteling door DoH lost dit op. De resolver ontsleutelt de versleutelde vragen, zoekt de antwoorden en geeft deze vervolgens weer versleuteld terug aan je apparaat. En dit alles gebeurt in milliseconden. In een eerdere blog post leggen we DoH in meer detail uit.

Je browser kiest je DNS-resolver

Met behulp van DoH verzend je browser het DNS-verkeer via HTTPS, zonder behulp van het bestuurssysteem. Hierdoor kan het netwerk het DNS-verkeer niet meer herkennen en niet meer naar de resolver van het netwerk leiden. Het DNS-verkeer komt in de plaats daarvan terecht bij de in je browser ingestelde resolver. Door het netwerk en de resolver uit elkaar te trekken, is er echter wel een extra partij die kan volgen welke websites je bezoekt. De aanbieder van het netwerk kan dit naar zijn aard al. De aanbieder van de resolver komt er nu bij. Nog een reden om hiervoor een betrouwbare partij te kiezen. Firefox implementeert DoH op zo’n manier dat DNS-vragen niet langer via de resolver van het netwerk lopen waar je op dat moment toevallig gebruikt van maakt, maar via een resolver die Firefox vertrouwt. Cloudflare is op dit moment de enige resolver die Firefox gebruikt en dat kan nuttig zijn, omdat bijvoorbeeld Amerikaanse ISP’s vaak de DNS-data van hun klanten verkopen. Ook heeft dat voordelen in situaties waar je de resolver van je netwerk niet vertrouwt, bijvoorbeeld in een koffiecorner. Dit is anders dan het oorspronkelijke model, waarbij jij als internetgebruiker (impliciet) bepaalde wie jouw DNS-verzoeken verwerkt: de ISP die je koos voor je internetabonnement of het bedrijf waar je voor werkt. Firefox is van plan om andere resolver operators toe te voegen aan hun lijst van ‘trusted resolvers’, maar waarschijnlijk zal veel DNS-verkeer via de default-resolver lopen omdat de meeste internetgebruikers weinig weten van infrastructuurcomponenten zoals DoH of het DNS.

Browsers krijgen meer macht

Waar tot op heden de macht om de resolver te bepalen in de regel bij het netwerk lag, komt deze macht door de toepassing van DoH bij de eigenaren van de browsers te liggen. En daarmee komt de vraag op hoe zij met deze macht omgaan. Bepalen zij eenzijdig waar al het DNS-verkeer heengaat of mag de internetgebruiker dit zelf kiezen? Is dit een geheel vrije keuze of komen er alleen een aantal voorgeselecteerde opties? En, kun je van een gemiddelde internetgebruiker verwachten dat hij actief een afgewogen keuze gaat maken voor een resolver? Of is dat niet realistisch en gaat het overgrote deel van de gebruikers van de standaard door de browser ingestelde resolver gebruikmaken? En wat moet dan de standaard ingestelde resolver zijn? Tot slot: wat betekent dit voor de mate van controle die de Nederlandse en Europese samenleving heeft over haar deel van het internet?

De Nederlandse internetgemeenschap betrekken

Tijdens het Jaarcongres ECP organiseerden we samen met KPN, in het kader van het NLIGF, een discussie waar het onder andere om deze vraagstukken ging. Het publiek was dan ook van mening dat een eerste stap zou kunnen zijn, zelf een betrouwbare DoH-resolver “made in Nederland” aan te bieden, die gehouden is aan de AVG. De browsers zouden dan zo’n resolver als betrouwbare bron voor DNS responses kunnen aanbieden aan zijn gebruikers. Verder werd het ook duidelijk, dat DoH alleen maar een voorbeeld is van de groeiende centralisatie van diensten op het internet. Partijen als Google hebben niet alleen sinds dit jaar een dominerende rol in het internet. Regulering werd daarom tijdens de NLIGF-sessie ook als optie genoemd door het publiek, maar zou daarbij niet persé nodig moeten zijn.

On top of DoH

Bij SIDN volgen we de ontwikkelingen op de voet. Zo meten we bij SIDN Labs voortdurend het aandeel van resolvers zoals die van Google en Cloudflare in het DNS verkeer dat we verwerken voor .nl en staan we in contact met de belangrijkste stakeholders in Nederland en met de Europese registry-community. Wij vinden het belangrijk dat over ontwikkelingen als DoH ook buiten de technische partijen binnen de internetgemeenschap gesproken wordt en blijven dit daarom agenderen.

Reacties

Maarten-Simon-thumbnail

Maarten Simon

Legal & Policy Advisor

+31 26 352 55 00

maarten.simon@sidn.nl

  • maandag 3 december 2018

    Kennis

    Nederlander ruim 60 uur per maand online via smartphone

    Thumb-Trends-2018

    SIDN presenteert resultaten onderzoek Trends in internetgebruik 2018

    Lees meer
  • donderdag 31 oktober 2019

    Over SIDN

    Niet 1, niet 2, niet 3, maar zelfs 4 CENTR Awards

    Thumb-centr-awards-ceremony

    Mooie waardering voor onze actieve bijdrage aan de domeinnaambranche

    Lees meer
  • donderdag 6 september 2018

    Veilig internet

    Hackman.nl: meer dan 600.000 Nederlanders bereikt

    Lieke-versus-Hackman-homepage

    Hackman.nl slaat aan

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.