DNS via HTTPS (DoH) gebruikt HTTPS protocol voor het verzenden en ophalen van versleutelde DNS-vragen en antwoorden. Het DoH-protocol is door de IETF as RFC 8484.
DNS-vragen en -antwoorden werden van oudsher als leesbare tekst verzonden, wat mogelijk de privacy van internetgebruikers in gevaar brengt, inclusief bezoekers van versleutelde HTTPS-websites. DoH voorkomt dat potentiële aanvallers en / of overheidsinstanties de DNS-vragen van gebruikers lezen, en begraaft ook DNS-verkeer op de poort 443 (de standaard HTTPS-poort), waar het moeilijk te onderscheiden is van ander versleuteld verkeer.
DoH in Chrome en Firefox
Recente aankondigingen door Kopen Google Reviews en mozilla over hun browserimplementaties hebben DoH in de schijnwerpers gezet voor privacyzoekende internetgebruikers:
- De Chromium Blog kondigde op 10 september 2019 aan dat Chrome 78 een experiment zal bevatten dat DoH zal gebruiken als de bestaande DNS-provider van de gebruiker voorkomt op een lijst met geselecteerde DoH-compatibele providers die bij de browser zijn geleverd. Als de provider van de gebruiker niet op de lijst staat, valt de browser terug op het DNS-protocol in platte tekst.
- mozilla aangekondigd op 6 september 2019 dat ze DoH zullen uitrollen als standaardinstelling voor hun Firefox-browser in de VS "vanaf eind september". Mozilla's plan is bekritiseerd omdat Firefox, in tegenstelling tot de implementatie van Google, standaard de DoH-servers van Cloudflare zal gebruiken (hoewel de gebruiker handmatig een andere provider kan specificeren).
Hoe zit het met DNS over TLS?
DNS voorbij TLS (DoT), uitgegeven door de IETF in RFC's 7858 en 8310, is vergelijkbaar met DoH in die zin dat het DNS-vragen en antwoorden versleutelt; DoT opereert echter via de poort 853 (in tegenstelling tot de poort van DoH 443). Ter ondersteuning van DoT over DoH, beweren sommige netwerkbeveiligingsdeskundigen dat het gebruik van een afzonderlijke poort voor DNS-verzoeken essentieel is voor effectieve verkeersinspectie en -controle.
