‘DoH veroorzaakt meer problemen dan het oplost’

Het DNS-over-HTTPS (DoH) protocol levert volgens networking- en cybersecurity-experts meer problemen op dan het oplost. Er komt dan ook steeds meer kritiek op DoH. 

DoH zorgt ervoor dat DNS queries – die domeinnamen proberen te matchen met IP-adressen van servers – via het versleutelde HTTPS verstuurd worden. Vroeger verliepen die queries via HTTP, maar met het nieuwe protocol moet er meer privacy geboden worden. Internetproviders kunnen namelijk niet langer het verkeer van gebruikers volgen.

Diverse bedrijven zijn dan ook enthousiast over DoH. Mozilla maakte het protocol aan het eind van september standaard in zijn Firefox-browser. Ook Google experimenteert binnen Chrome met het protocol.

Kritiek

Maar diverse experts zijn dus minder enthousiast, schrijft ZDNet. Volgens velen voorkomt DoH bijvoorbeeld helemaal niet dat internetproviders het verkeer kunnen volgen. De provider kan de DNS-queries niet bekijken, maar er zijn diverse andere datapunten die een provider kan volgen om te zien waar een gebruiker heen gaat. 

Bovendien is het HTTPS-protocol niet perfect, en zijn sommige delen van die verbinding niet versleuteld. Providers kunnen simpelweg naar de punten kijken die niet versleuteld zijn – zoals SNI-velden en OCSP-verbindingen. Daarnaast kan het IP-adres waarmee verbinding wordt gemaakt niet verborgen worden. Providers zien dus met wie een connectie opgezet wordt. 

Enterprise-beleid

Een ander punt waar veel over gesproken wordt, is dat DoH het beleid van enterprises om lokaal verkeer te monitoren en filteren kan omzeilen. Maar de huidige DNS-servers ondersteunen geen DoH queries. Dat betekent dat apps die DoH ondersteunen een lijst van hardcoded DoH-servers hebben, die losstaan van reguliere DNS-instellingen op een systeem. 

Dit betekent ook dat systeemadministratoren op moeten letten dat de DNS-instellingen nog wel kloppen, om te voorkomen dat DNS-hijacks plaatsvinden. Het monitoren is echter vrijwel onmogelijk, aangezien bedrijven honderden applicaties hebben die straks eigen DoH-instellingen hebben.

Bovendien kunnen werknemers met DoH inderdaad om filters heen komen en per ongeluk op malware- en phishing-sites terecht komen. Daarmee wordt de security van het bedrijf dus minder. Het National Cyber Security Center heeft dan ook gewaarschuwd dat DNS-gebaseerde monitoring-oplossingen uiteindelijk niet langer effectief zullen zijn vanwege DoH.