Meer privacy met DNS-over-TLS

Sinds 22 november is de DNS dienstverlening van SURFnet nog een stukje veiliger én privacyvriendelijker geworden. Sinds die dag ondersteunen de DNS-resolvers die SURFnet beschikbaar maakt voor haar aangesloten instellingen de nieuwe DNS-over-TLS standaard (https://www.surf.nl/diensten-en-producten/surfdomeinen/dns-resolvers/in…).

DNS en privacy

Het originele DNS-protocol, wat stamt uit de jaren 80 van de vorige eeuw, is één van de meest gebruikte protocollen op het internet. Iedere keer als je bijvoorbeeld een website bezoekt wordt er een DNS-verzoek gestuurd waarmee de voor mensen leesbare domeinnaam (bijvoorbeeld www.surf.nl) wordt vertaald in een voor computers begrijpelijk IP-adres (bijvoorbeeld 2001:610:188:410:145:100:190:243).

Het originele DNS-protocol voorziet hierbij niet in vertrouwelijkheid. Dat wil zeggen dat iedereen die DNS-verzoeken kan onderzoeken kan zien welke namen je opvraagt. En welke namen je opvraagt zegt heel veel over je surfgedrag; zo zou iemand kunnen zien of je op zoek bent naar een nieuwe liefde op basis van DNS-verzoeken voor bijvoorbeeld ‘tinder.com’.

Wat is DNS-over-TLS?

DNS-over-TLS is een nieuwe standaard voor het verzenden van DNS-verkeer, die in 2015 door de Internet Engineering Task-Force (IETF) is uitgebracht. In deze nieuwe standaard wordt het verkeer tussen de client (bijvoorbeeld je laptop) en zogenaamde DNS-resolvers (de servers die namen voor je opzoeken op het internet) beschermd door het verkeer te versleutelen. Hierbij wordt het Transport Layer Security (TLS) protocol gebruikt, dat is hetzelfde protocol wat je webverkeer beschermt als je naar een website met HTTPS gaat.

Een slot met de letters TLS ernaast en een oranje vinkje erdoorheen

Welke software ondersteunt DNS-over-TLS?

Op dit moment is er nog weinig standaardsoftware die DNS-over-TLS ondersteunt, maar daar lijkt binnenkort verandering in te gaan komen. Het Android Open Source Project, wat de software onderhoudt voor mobiele telefoons en tablets die op basis van het Android besturingssysteem werken, heeft namelijk standaard ondersteuning voor DNS-over-TLS toegevoegd. De functie is zo gebouwd dat Android standaard probeert om DNS-over-TLS-communicatie op te zetten met de DNS-resolver die op een netwerk wordt gebruikt. De kans is groot dat deze functionaliteit in een volgende versie van Android standaard aanwezig is. Om die reden heeft SURFnet nu alvast DNS-over-TLS ingeschakeld.

En als ik nu al wil experimenteren?

Er is al experimentele software genaamd ‘Stubby’ die je kunt installeren op je computer, die DNS-over-TLS ondersteunt. Meer daarover kun je lezen op de website van het DNS Privacy project (https://dnsprivacy.org/wiki/), een initiatief wat mede door SURFnet wordt ondersteund.

Overzicht van de website van DNS Privacy Project

Kan DNS-privacy in de toekomst nog beter?

Hoewel DNS-over-TLS een grote bijdrage levert aan het beschermen van de privacy van internetgebruikers, blijft de DNS-resolver zelf nog een privacyhotspot. Degene die de DNS- resolver exploiteert kan tenslotte nog steeds alle DNS-verzoeken zien via de DNS-software. Nu biedt privacywetgeving hier gelukkig soelaas; netwerkoperators — zoals SURFnet — mogen niet zomaar dit verkeer inzien.

Maar dat betekent niet dat het niet nog beter kan. Er zijn namelijk ook legitieme redenen om als netwerkoperator te kijken naar DNS-verzoeken, bijvoorbeeld om zaken als botnetinfecties en andere vormen van misbruik op te sporen. Bij SURFnet werken we daarom momenteel samen met Quarantainenet (https://quarantainenet.nl) en NLnet Labs (https://www.nlnetlabs.nl) aan een privacyvriendelijke manier om dit mogelijk te maken. Door slim gebruik te maken van zogenaamde ‘privacy-enhancing technologies’ proberen we het mogelijk te maken om wél vast te kunnen stellen of een bepaalde domeinnaam is opgevraagd (bijvoorbeeld omdat die is geassocieerd met kwaadaardige sites), maar zonder dat we kunnen zien wie die domeinnaam heeft opgevraagd. Daarbij beschermen we dus de privacy van individuele gebruikers, terwijl we tegelijkertijd beter inzicht kunnen krijgen in de veiligheidssituatie op het netwerk.

In de loop van 2018 gaan we in praktijk met deze technologie experimenteren.

Auteur

Reacties

Dit artikel heeft 0 reacties