Ook Microsoft adopteert DNS-over-HTTPS-protocol

Stay tuned, abonneer!

Na Mozilla en Google heeft nu ook Microsoft besloten het DNS-over-HTTPS (DoH)-protocol te adopteren. Het protocol moet standaard ingezet worden in Windows.

DoH is een protocol dat browserverkeer beter moet beveiligen. De techniek draait om het beveiligen van DNS queries, die domeinnamen proberen te matchen met IP-adressen van servers. Dergelijke verzoeken worden nu via het onbeveiligde HTTP verstuurd, maar met DoH moeten ze via het versleutelde HTTPS verstuurd worden.

DoH zorgt ervoor dat internetproviders en malafide actoren het browserverkeer niet meer kunnen lezen. Daardoor biedt het dus meer privacy voor de eindgebruiker. En dat is ook wat Microsoft interessant vindt, schrijven Tommy Jensen, Ivan Pashov en Gabriel Montenegro van Microsoft in een blogbericht.

DoH voor DNS-servers al beschikbaar

De bedoeling is dat DoH geadopteerd wordt binnen de Windows DNS client. Maar daar worden nu alleen nog plannen voor gemaakt. Toch is er al wel een eerste mijlpaal: DoH is al beschikbaar voor DNS servers met Windows.

“Er zijn nu diverse publieke DNS-servers die DoH ondersteunen en als een Windows-gebruiker of een admin één daarvan nu configureert, gebruikt Windows de klassieke DNS (zonder encryptie) voor die server. Maar aangezien deze servers en hun DoH-configuraties bekend zijn, kan Windows automatisch upgraden naar DoH terwijl het dezelfde server gebruikt”, aldus Microsoft.

In de toekomst wil Microsoft bovendien nog andere privacy-vriendelijke manieren maken om gebruikers hun DNS-instellingen te laten ontdekken in Windows, en die instellingen ‘DoH aware’ maken. Daardoor kunnen gebruiker zelf DoH-servers configureren.

DoH krijgt ook kritiek

Microsoft sluit zich daarmee aan bij een groeiend aantal bedrijven dat DoH inzet. Eerder maakte Mozilla al bekend DoH de standaard te willen maken in zijn Firefox-browser en ook Google wil zijn eigen DoH-dienst gaan gebruiken voor Chrome.

De techniek ontvangt echter ook kritiek. DoH zorgt er bijvoorbeeld voor dat filters voor websites niet langer werken, omdat niet uit te lezen is met welke website een browser verbinding probeert te maken. Dat betekent dat beleid van bedrijven omzeild kan worden.

Daarnaast hebben apps die DoH ondersteunen nu vaak een lijst van hardcoded DoH-servers, die losstaan van reguliere DNS-instellingen op een systeem. Daardoor moeten systeemadministratoren opletten of de DNS-instellingen kloppen, omdat er anders DNS hijacks plaats kunnen vinden.